直接接続セッションでより強固なセキュリティを実現するには、/etc/nginx/conf.d/vmwvadc.conf 構成ファイルを変更して、SSL/TLS 通信で強度の弱い暗号を禁止し、デフォルトの自己署名 TLS サーバ証明書を認証局によって署名された証明書に置き換えます。

注: Horizon Agent Direct-Connection プラグインは、 Horizon Agent 2111 以降を実行している Linux デスクトップでサポートされています。

SSL/TLS 通信で強度の弱い暗号の無効化

注: 仮想デスクトップ OS でサポートされているいずれかの暗号化方式をサポートするように Horizon Client が構成されていなければ、TLS/SSL ネゴシエーションは失敗し、クライアントは接続できません。

Horizon Client でサポートされる暗号化スイートの構成についての詳細は、「https://www.vmware.com/support/viewclients/doc/viewclients_pubs.html」で公開されている Horizon Client ドキュメンテーションを参照してください。

/etc/nginx/conf.d/vmwvadc.conf 構成ファイルの ###Enable https で、次の行にデフォルトの暗号リストを指定します。
ssl_ciphers !aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES;

強度の弱い暗号を禁止するには、https://www.openssl.org/docs/で説明されている暗号リスト形式を使用して、ssl_ciphers 行に暗号文字列を追加します。

自己署名 TLS サーバ証明書の置き換え

インストール後に Horizon Agent Direct-Connection プラグイン(旧称 View Agent Direct-Connection プラグイン)を初めて起動すると、自己署名 TLS サーバ証明書が自動的に生成されます。TLS プロトコル ネゴシエーション中に TLS サーバ証明書が Horizon Client に提示され、このデスクトップについての情報がクライアントに示されます。

デフォルトの自己署名 TLS サーバ証明書は、改ざんや盗聴の脅威から Horizon Client を十分に保護することができません。これらの脅威から保護するには、自己署名証明書をクライアントによって信頼され、Horizon Client 証明書チェックで完全に検証された認証局 (CA) の署名がある証明書に置き換える必要があります。

サブジェクトの別名 (SAN) を持つ証明書およびワイルドカード証明書はサポートされません。

/etc/nginx/conf.d/vmwvadc.conf 構成ファイルの ###Enable https で、次の行にデフォルトの自己署名証明書とプライベート キーを指定します。
ssl_certificate /etc/vmware/ssl/rui.crt;
ssl_certificate_key /etc/vmware/ssl/rui.key;

これらの行のデフォルト エントリを、CA 署名付き証明書とプライベート キーのファイル パスに置き換えます。