管理者は、証明書検証モードを構成できます。管理者は、サーバの証明書の確認が失敗した場合にエンド ユーザーがクライアント接続を制御できるかどうかを設定することもできます。

証明書確認は、Connection Server インスタンスと Horizon Client 間の TLS 接続に対して実行されます。管理者は、次のいずれかの方法を使用するように検証モードを構成できます。

  • エンド ユーザーは検証モードを選択できます。
  • (検証なし)証明書確認は実行されません。
  • (警告)自己署名証明書がサーバによって提示されると、エンド ユーザーに警告が通知されます。ユーザーは、このタイプの接続を許可するかどうかを選択できます。
  • (フル セキュリティ)フル検証が実行され、フル検証をパスしない接続は拒否されます。

証明書検査では、次のような検査が行われます。

  • 証明書は失効しているか。
  • 証明書の目的は、送信側の ID 検証やサーバ通信の暗号化以外にあるか。つまり、証明書のタイプは正しいか。
  • 証明書は期限切れになっているか、また有効なのは未来のみか。つまり、証明書はコンピュータの時刻に応じて有効になっているか。
  • 証明書上の共通名は、それを送信するサーバのホスト名と一致しているか。ロード バランサが Horizon Client を、Horizon Client で入力したホスト名と一致しない証明書を持つサーバにリダイレクトした場合、不一致が発生する可能性があります。クライアントにホスト名ではなく IP アドレスを入力した場合も、不一致の原因となる可能性があります。
  • 不明なまたは信頼されていない証明機関(CA)によって署名された証明書か。自己署名された証明書は、信頼されていない CA の証明書タイプの 1 つです。チェックをパスするには、証明書のトラスト チェーンが、デバイスのローカル証明書ストアでルートになっている必要があります。

SSL プロキシ サーバを使用してクライアント環境からインターネットに送信されたトラフィックを検査する場合は、SSL プロキシ サーバ経由でのセカンダリ接続の証明書確認を有効にできます。また、プロキシ サーバを使用するように VMware Blast 接続を設定することもできます。

特定のタイプのクライアントに証明書確認と SSL プロキシ サーバの使用を設定する方法については、そのクライアントの Horizon Client のインストールとセットアップに関するドキュメントを参照してください。また、これらのドキュメントには、自己署名証明書の使用に関する情報も含まれています。