직접 연결 세션에서 보안을 강화하려면 SSL/TLS 통신에서 취약한 암호를 허용하지 않도록 /etc/nginx/conf.d/vmwvadc.conf 구성 파일을 수정하고 기본 자체 서명 TLS 서버 인증서를 CA(인증 기관)에서 서명한 인증서로 바꿀 수 있습니다.
SSL/TLS 통신에서 취약한 암호 허용 안 함
Horizon Client에서 지원되는 암호 제품군을 구성하는 방법은 https://www.vmware.com/support/viewclients/doc/viewclients_pubs.html에서 Horizon Client 설명서를 참조하십시오.
###Enable https 아래에서 다음 줄은 기본 암호 목록을 지정합니다.
ssl_ciphers !aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES;
취약한 암호를 허용하지 않으려면 https://www.openssl.org/docs/에서 설명하는 암호 목록 형식을 사용하여 ssl_ciphers 줄에 암호 문자열을 추가합니다.
자체 서명 TLS 서버 인증서 교체
VADC(View Agent Direct-Connection) 플러그인을 설치한 다음 최초 시작 시 자체 서명 TLS 서버 인증서가 자동으로 생성됩니다. TLS 서버 인증서는 TLS 프로토콜 협상 중에 클라이언트에 이 데스크톱에 대한 정보를 제공하기 위해 Horizon Client에 제공됩니다.
기본 자체 서명 TLS 서버 인증서는 Horizon Client에 임의 변경 및 도청 위협을 막는 충분한 보호 성능을 제공할 수 없습니다. 이러한 위협으로부터 보호하려면 클라이언트가 신뢰하고 Horizon Client 인증서 확인으로 완벽하게 검증된 CA(인증 기관) 서명 인증서로 자체 서명 인증서를 교체해야 합니다.
제목 대체 이름(SAN)이 있는 인증서와 와일드카드 인증서가 지원됩니다.
###Enable https에서 다음 줄은 기본 자체 서명 인증서 및 개인 키를 지정합니다.
ssl_certificate /etc/vmware/ssl/rui.crt; ssl_certificate_key /etc/vmware/ssl/rui.key;
이러한 줄의 기본 항목을 CA 서명 인증서 및 개인 키의 파일 경로로 바꿉니다.
