더 이상 안전하지 않은 것으로 간주되는 일부 이전 프로토콜 및 암호는 기본적으로 VMware Horizon에서 사용되지 않도록 설정되어 있습니다. 필요할 경우 수동으로 사용하도록 설정할 수 있습니다.
사용하지 않도록 설정된 프로토콜 및 암호
- SSLv3
자세한 내용은 http://tools.ietf.org/html/rfc7568을 참조하십시오.
- TLSv1 및 TLSv1.1
자세한 내용은 https://datatracker.ietf.org/doc/html/rfc8996 및 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-52r2.pdf 항목을 참조하십시오.
- RC4
자세한 내용은 http://tools.ietf.org/html/rfc7465를 참조하십시오.
DHE 암호 제품군
DSA 인증서와 호환되는 암호 제품군은 Diffie-Hellman 사용 후 삭제 키를 사용하며 Horizon 6 버전 6.2부터는 기본적으로 더 이상 사용되지 않도록 설정되어 있습니다. 자세한 내용은 http://kb.vmware.com/kb/2121183을 참조하십시오.
연결 서버 인스턴스 및 VMware Horizon 데스크톱의 경우 본 가이드의 설명에 따라 Horizon LDAP 데이터베이스, locked.properties 파일 또는 레지스트리를 편집함으로써 이러한 암호 그룹을 사용하도록 설정할 수 있습니다. 전역 수락 및 제안 정책 변경, 개별 서버의 수락 정책 구성 및 원격 데스크톱에서 제안 정책 구성 항목을 참조하십시오. 다음 제품군 중 하나 이상을 포함하는 암호 제품군 목록을 아래의 순서대로 정의할 수 있습니다.
- TLS_DHE_DSS_WITH_AES_128_GCM_SHA256(TLS 1.2만 해당, FIPS 제외)
- TLS_DHE_DSS_WITH_AES_256_GCM_SHA384(TLS 1.2만 해당, FIPS 제외)
- TLS_DHE_DSS_WITH_AES_128_CBC_SHA256(TLS 1.2만 해당)
- TLS_DHE_DSS_WITH_AES_128_CBC_SHA
- TLS_DHE_DSS_WITH_AES_256_CBC_SHA256(TLS 1.2만 해당)
- TLS_DHE_DSS_WITH_AES_256_CBC_SHA
Horizon Agent Direct-Connection 플러그인 시스템의 경우 "Horizon 설치 및 업그레이드" 문서의 "Horizon Agent 시스템용 SSL/TLS에서 취약한 암호 사용 안 함" 절차를 따를 때 암호 목록에 다음을 추가하면 DHE 암호 그룹을 사용하도록 설정할 수 있습니다.
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
SHA-1
FIPS 모드에서 인증서가 SHA-1을 사용하여 서명된 경우 "인증서가 알고리즘 제약 조건을 준수하지 않음"을 나타내며 실패합니다. 루트 인증서를 포함하여 체인의 모든 인증서에 적용합니다. 이 서명 알고리즘이 사용되지 않는 이유에 대한 자세한 내용은 https://cabforum.org/wp-content/uploads/BRv1.2.5.pdf를 참조하십시오.
가능한 경우 실패한 인증서를 교체합니다. 이 작업을 수행할 수 없는 경우 LDAP를 편집하여 SHA-1 서명을 다시 사용하도록 설정할 수 있습니다. CN=Common,OU=Global,OU=Properties,DC=vdi,DC=vmware,DC=int로 이동합니다. 쉼표로 구분된 값 목록에 rsa_pkcs1_sha1을 추가하여 특성 pae-SSLClientSignatureSchemes를 수정합니다. 수정된 특성을 저장한 다음, 클러스터의 각 연결 서버에서 연결 서버 서비스를 한 번에 하나씩 다시 시작합니다.
PFS(Forward Secrecy) 없음
자세한 내용은 https://datatracker.ietf.org/doc/html/rfc7525 항목을 참조하십시오. PFS(Forward Secrecy)를 나타내지 않는 키 교환 알고리즘을 지정하는 암호 그룹은 기본적으로 사용되지 않도록 설정됩니다. 이러한 암호 그룹을 사용하도록 설정하는 방법에 대한 지침은 이 항목의 다른 섹션을 참조하십시오.
프로토콜을 다시 사용하도록 설정
위에 나열된 프로토콜은 적절한 이유로 더 이상 사용되지 않지만 하나 이상의 프로토콜을 다시 사용하도록 설정해야 하는 사용 사례가 있을 수 있습니다. 그러면 아래 절차에 따라 프로토콜을 사용하도록 설정할 수 있습니다.
연결 서버 인스턴스 및 VMware Horizon 데스크톱의 경우 C:\Program Files\VMware\VMware View\Server\jre\conf\security\java.security 구성 파일을 편집하여 연결 서버 또는 Horizon Agent 시스템에서 프로토콜을 사용하도록 설정할 수 있습니다. 파일 끝에는 jdk.tls.legacyAlgorithms
라는 다중 행 항목이 있습니다. 프로토콜 및 그 뒤의 쉼표를 이 항목에서 제거하고 경우에 따라 연결 서버 또는 Horizon Agent 시스템을 다시 시작합니다.
또한 "Horizon 설치 및 업그레이드" 문서의 "연결 서버에서 vCenter 연결에 TLSv1 사용" 섹션을 참조하십시오.
Horizon Agent Direct-Connection(이전 명칭 VADC) 시스템의 경우 "Horizon 설치 및 업그레이드" 문서의 "SSL/TLS Horizon Agent 시스템에서 취약한 암호 사용 안 함" 절차를 따를 때 암호 목록에 줄을 추가하면 프로토콜을 사용하도록 설정할 수 있습니다. 예를 들어 RC4를 사용하도록 설정하려면 다음을 추가할 수 있습니다.
TLS_RSA_WITH_RC4_128_SHA