直接接続セッションでより強固なセキュリティを実現するには、/etc/nginx/conf.d/vmwvadc.conf 構成ファイルを変更して、SSL/TLS 通信で強度の弱い暗号を禁止し、デフォルトの自己署名 TLS サーバ証明書を認証局によって署名された証明書に置き換えます。
SSL/TLS 通信で強度の弱い暗号の無効化
Horizon Client でサポートされる暗号化スイートの構成についての詳細は、「https://www.vmware.com/support/viewclients/doc/viewclients_pubs.html」で公開されている Horizon Client ドキュメンテーションを参照してください。
###Enable https で、次の行にデフォルトの暗号リストを指定します。
ssl_ciphers !aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES;
強度の弱い暗号を禁止するには、https://www.openssl.org/docs/で説明されている暗号リスト形式を使用して、ssl_ciphers 行に暗号文字列を追加します。
自己署名 TLS サーバ証明書の置き換え
インストール後に Horizon Agent Direct-Connection プラグイン(旧称 View Agent Direct-Connection プラグイン)を初めて起動すると、自己署名 TLS サーバ証明書が自動的に生成されます。TLS プロトコル ネゴシエーション中に TLS サーバ証明書が Horizon Client に提示され、このデスクトップについての情報がクライアントに示されます。
デフォルトの自己署名 TLS サーバ証明書は、改ざんや盗聴の脅威から Horizon Client を十分に保護することができません。これらの脅威から保護するには、自己署名証明書をクライアントによって信頼され、Horizon Client 証明書チェックで完全に検証された認証局 (CA) の署名がある証明書に置き換える必要があります。
サブジェクトの別名 (SAN) を持つ証明書およびワイルドカード証明書はサポートされません。
###Enable https で、次の行にデフォルトの自己署名証明書とプライベート キーを指定します。
ssl_certificate /etc/vmware/ssl/rui.crt; ssl_certificate_key /etc/vmware/ssl/rui.key;
これらの行のデフォルト エントリを、CA 署名付き証明書とプライベート キーのファイル パスに置き換えます。
