absg.properties ファイルを編集すると、BSG のクライアントサイド リスナによって承認されるセキュリティ プロトコルと暗号スイートを構成できます。

注: Connection Server のセキュリティ設定は BSG に適用されません。BSG のセキュリティを個別に構成する必要があります。

サポートされているプロトコルは次のとおりです。

リリース バージョン サポートされているプロトコル デフォルトの設定
VMware Horizon 8 バージョン 2312 以降

TLS 1.1、TLS 1.2、TLS 1.3

注: TLS 1.1 は、FIPS モードではサポートされていません。
  • 非 FIPS モードでは、TLS 1.2 と TLS 1.3 が有効になります。
  • FIPS モードでは、TLS 1.2 が有効になります。
VMware Horizon 8 バージョン 2309 以前 TLS 1.0、TLS 1.1、TLS 1.2 TLS 1.2 が有効になっています。

SSLv3 以前などの古いプロトコルは許可されません。

2 つのプロパティ localHttpsProtocolLowlocalHttpsProtocolHigh により、BSG リスナによって承認されるプロトコルの範囲が決まります。たとえば、localHttpsProtocolLow=tls1.1localHttpsProtocolHigh=tls1.3 を設定すると、TLS 1.1、TLS 1.2、TLS 1.3 を受け入れるようにリスナーが構成されます。BSG の absg.log ファイルを調べると、特定の BSG インスタンスで有効になっている値がわかります。

OpenSSL で定義されている形式で暗号化リストを指定する必要があります。Web ブラウザで openssl cipher string を検索して、暗号リストの形式を確認できます。デフォルトの暗号リストは次のとおりです。

プロトコル デフォルトの暗号リスト
TLS 1.1、TLS 1.2
ECDHE+AESGCM
TLS 1.3
TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384
注: FIPS モードの場合、GCM 暗号スイートのみが有効になります ( ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256)。

手順

  1. Connection Server インスタンスで install_directory\VMware\VMware View\Server\appblastgateway\absg.properties ファイルを編集します。
    デフォルトのインストール ディレクトリは %ProgramFiles% です。
  2. プロパティ localHttpsProtocolLowlocalHttpsProtocolHigh を編集して、プロトコルの範囲を指定します。
    次に例を示します。
    localHttpsProtocolLow=tls1.1
    localHttpsProtocolHigh=tls1.3

    プロトコルを 1 つのみ有効にするには、localHttpsProtocolLowlocalHttpsProtocolHigh の両方に同じプロトコルを指定します。

  3. localHttpsCipherSpecプロパティを編集して、暗号スイートのリストを指定します。
    次に例を示します。
    localHttpsCipherSpec=!aNULL:kECDH+AESGCM:ECDH+AESGCM:kECDH+AES:ECDH+AES
  4. Windows サービス VMware Horizon Blast Secure Gateway を再起動します。