VMware Horizon 8 Server 用の TLS 証明書について

VMware Horizon 8 サーバおよび関連コンポーネント用の TLS 証明書を構成する場合には、特定のガイドラインに従う必要があります。

Horizon Connection Server

サーバにクライアントを接続するには TLS が必要です。クライアント接続の Connection Server インスタンスと TLS 接続を終端させる中間サーバは、TLS サーバ証明書を要求します。

デフォルトでは、Connection Server をインストールすると、サーバ用の自己署名証明書が生成されます。ただし、次の場合は既存の証明書が使用されます。

フレンドリ名 vdm を持つ有効な証明書が Windows 証明書ストアに存在する場合
以前のリリースから VMware Horizon 8 にアップグレードし、有効なキーストアファイルが Windows Server コンピュータで構成されている場合、インストールでキーと証明書が抽出され、Windows 証明書ストアにインポートされます。

vCenter Server

vCenter Server を本番環境の VMware Horizon 8 に追加する前に、vCenter Server が CA によって署名された証明書を使用していることを確認してください。

vCenter Server のデフォルト証明書の置き換えの詳細については、VMware vSphere ドキュメントサイトにある『vSphere 認証』ドキュメントの「大規模環境での証明書の置き換え」を参照してください。

PCoIP Secure Gateway

業界または地域のセキュリティに関わる法律に準拠するため、PCoIP Secure Gateway (PSG) サービスによって生成されるデフォルトの TLS 証明書を認証局 (CA) によって署名される証明書に置き換えることができます。CA 署名付き証明書を使用するために PSG サービスを構成することを強く推奨します。特に、セキュリティスキャナを使用して準拠テストにパスする必要がある展開です。TLSを参照してください。

Blast Secure Gateway

デフォルトでは、Blast Secure Gateway (BSG) は、BSG が動作している Connection Server インスタンス用に構成される TLS 証明書を使用します。CA 署名付き証明書を持つサーバのデフォルトの自己署名証明書を置き換えると、BSG も CA 署名付き証明書を使用します。

登録サーバ

Connection Server から登録サーバへの接続には TLS が必要です。デフォルトでは、登録サーバはサーバの自己署名証明書を生成します。このインストールでは、フレンドリ名が [vdm.es] である有効な証明書が Windows 証明書ストアにすでに存在する場合、既存の証明書が使用されます。

データベースサーバ

イベント DB をホストするために使用されるデータベースサーバとの通信で TLS を有効にするには、データベースサーバが CA によって署名された証明書を使用していることを確認します。データベースサーバに TLS 証明書を設定するには、各データベースプロバイダのドキュメントを参照してください。

SAML 2.0 認証システム

VMware Workspace ONE Access は SAML 2.0 認証子を使用して、セキュリティドメイン全体で Web ベースの認証と承認を実現します。VMware Horizon 8 が VMware Workspace ONE Access に認証を委任するようにする場合は、VMware Horizon 8 を構成して、VMware Workspace ONE Access からの SAML 2.0 認証セッションを受け入れるようにすることができます。VMware Workspace ONE Access が VMware Horizon 8 をサポートするように構成されている場合、VMware Workspace ONE Access ユーザーは、Horizon ユーザーポータルのデスクトップアイコンを選択してリモートデスクトップに接続することができます。

Horizon Console では、SAML 2.0 認証システムを View Connection Server インスタンスで使用するように構成できます。

Horizon Console に SAML 2.0 認証システムを追加する前に、SAML 2.0 認証システムが CA によって署名された証明書を使用していることを確認します。

その他のガイドライン

認証局 (CA) によって署名された TLS 証明書の要求と使用に関する一般的な情報については、TLSを参照してください。

クライアントエンドポイントが Connection Server インスタンスに接続すると、サーバの TLS サーバ証明書と信頼チェーンの中間証明書が提示されます（中間証明書は、Connection Server の Windows 中間認証局ストアにあります）。サーバ証明書を信頼するには、クライアントシステムに、CA が署名したルート証明書がインストールされている必要があります。

TLS 接続中に vCenter Server は中間証明書を提示しません。Connection Server インスタンスでは、Windows の中間認証局ストアにこれらの中間証明書が配置されている必要があります。KB 2108294を参照してください。

同様に、Connection Server 用に SAML 2.0 認証システムが構成されている場合は、Connection Server コンピュータに、SAML 2.0 サーバ証明書用の CA が署名したルート証明書がインストールされている必要があります。