VMware Horizon에서는 많은 공개 키 인증서를 사용합니다. 신뢰할 수 있는 타사와 관련된 메커니즘을 사용하여 이러한 인증서 일부가 확인되지만 이러한 메커니즘이 항상 필요한 정밀도, 속도 또는 유연성을 제공하는 것은 아닙니다. VMware Horizon은 일부 상황에서 지문 확인이라고 하는 대체 메커니즘을 사용합니다.
개별 인증서 필드에 대해 유효성 검사를 수행하거나 신뢰 체인을 구축하는 대신, 지문 확인에서는 인증서를 토큰으로 취급하여 전체 바이트 시퀀스(또는 해당 암호화 해시)를 미리 공유한 바이트 시퀀스 또는 해시와 일치시킵니다. 일반적으로 이것은 별도의 신뢰할 수 있는 채널을 통해 알맞은 때에 공유됩니다. 즉 서비스가 제공하는 인증서가 필요한 정확한 인증서인지 검증할 수 있습니다.
Horizon Message Bus는 연결 브로커 간 및 Horizon Agent와 연결 브로커 인스턴스 간에 통신합니다. 설치 채널은 메시지별 서명 및 페이로드 암호화를 사용하지만 주 채널은 상호 인증으로 TLS를 사용하여 보호됩니다. TLS를 사용하여 채널을 보호할 경우 클라이언트와 서버 모두 인증에서 TLS 인증서 및 지문 유효성 검사가 사용됩니다. Horizon Message Bus 채널에 대해 서버는 항상 메시지 라우터입니다. 클라이언트도 메시지 라우터가 될 수 있습니다. 이러한 방식으로 메시지 라우터는 메시지를 공유하게 됩니다. 그러나 클라이언트는 연결 브로커 인스턴스 또는 Horizon Agent 중 하나에 해당합니다.
초기 인증서 지문 및 설치 메시지 서명 키는 다양한 방식으로 제공됩니다. 연결 브로커에서 인증서 지문은 LDAP에 저장되므로 Horizon Agent는 모든 연결 브로커와 통신할 수 있고 모든 연결 브로커가 서로 통신할 수 있습니다. Horizon Message Bus 서버 및 클라이언트 인증서는 자동으로 생성되고 주기적으로 교환되며, 오래된 인증서는 자동으로 삭제되므로 수동 개입이 필요하지 않거나 실제로 가능하지 않습니다. 주 채널의 양쪽 끝에서 인증서가 스케줄에 따라 자동으로 생성되고 설치 채널을 통해 교환됩니다. 이러한 인증서를 직접 교체하는 것은 불가능합니다. 만료된 인증서는 자동으로 제거됩니다.
유사한 메커니즘이 포드 간 통신에 적용됩니다.
다른 통신 채널은 고객 제공 인증서를 사용할 수 있지만 기본적으로는 자동 생성 인증서를 사용합니다. 여기에는 보안 터널, 등록 서버 및 vCenter 연결과 디스플레이 프로토콜 및 보조 채널이 포함됩니다. 이러한 인증서를 교체하는 방법에 대한 자세한 내용은 "Horizon 관리" 문서를 참조하십시오. 기본 인증서는 설치 시에 생성되며 PCoIP를 제외하고 자동으로 갱신되지 않습니다. PKI 생성 인증서를 PCoIP에서 사용할 수 없는 경우 시작할 때마다 새 인증서가 자동으로 생성됩니다. PKI 생성 인증서가 사용되더라도 이러한 채널 대부분에는 지문 확인이 사용됩니다.
vCenter 인증서의 확인에는 이러한 방법이 조합되어 사용됩니다. 연결 브로커 인스턴스는 항상 PKI를 사용하여 수신된 인증서가 유효한지 확인하려고 합니다. 이 유효성 검사가 실패할 경우, 인증서를 검토한 후에 VMware Horizon 관리자는 연결이 계속되도록 허용할 수 있고 연결 브로커는 지문 확인을 사용하여 이후의 자동 수락을 위해 인증서의 암호화 해시를 저장합니다.