absg.properties ファイルを編集すると、BSG のクライアントサイド リスナによって承認されるセキュリティ プロトコルと暗号スイートを構成できます。
注: Connection Server のセキュリティ設定は BSG に適用されません。BSG のセキュリティを個別に構成する必要があります。
サポートされているプロトコルは次のとおりです。
| リリース バージョン | サポートされているプロトコル | デフォルトの設定 |
|---|---|---|
| VMware Horizon 8 バージョン 2312 以降 | TLS 1.1、TLS 1.2、TLS 1.3
注: TLS 1.1 は、FIPS モードではサポートされていません。
|
|
| VMware Horizon 8 バージョン 2309 以前 | TLS 1.0、TLS 1.1、TLS 1.2 | TLS 1.2 が有効になっています。 |
SSLv3 以前などの古いプロトコルは許可されません。
2 つのプロパティ localHttpsProtocolLowとlocalHttpsProtocolHigh により、BSG リスナによって承認されるプロトコルの範囲が決まります。たとえば、localHttpsProtocolLow=tls1.1 と localHttpsProtocolHigh=tls1.3 を設定すると、TLS 1.1、TLS 1.2、TLS 1.3 を受け入れるようにリスナーが構成されます。BSG の absg.log ファイルを調べると、特定の BSG インスタンスで有効になっている値がわかります。
OpenSSL で定義されている形式で暗号化リストを指定する必要があります。Web ブラウザで openssl cipher string を検索して、暗号リストの形式を確認できます。デフォルトの暗号リストは次のとおりです。
| プロトコル | デフォルトの暗号リスト |
|---|---|
| TLS 1.1、TLS 1.2 | ECDHE+AESGCM |
| TLS 1.3 | TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384 |
注: FIPS モードの場合、GCM 暗号スイートのみが有効になります (
ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256)。
