이전 프로토콜 및 암호가 VMware Horizon에서 비활성화됨

더 이상 안전하지 않은 것으로 간주되는 일부 이전 프로토콜 및 암호는 기본적으로 VMware Horizon 8에서 비활성화됩니다. 필요할 경우 수동으로 활성화할 수 있습니다.

비활성화된 프로토콜 및 암호

VMware Horizon 8에서 다음 프로토콜 및 암호는 기본적으로 비활성화되어 있습니다.

SSLv3
자세한 내용은 http://tools.ietf.org/html/rfc7568을 참조하십시오.
TLSv1 및 TLSv1.1
자세한 내용은 https://datatracker.ietf.org/doc/html/rfc8996 및 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-52r2.pdf 항목을 참조하십시오.
RC4
자세한 내용은 http://tools.ietf.org/html/rfc7465를 참조하십시오.

DHE 암호 제품군

DSA 인증서와 호환되는 암호 제품군은 Diffie-Hellman 사용 후 삭제 키를 사용하며 Horizon 6 버전 6.2부터는 기본적으로 더 이상 활성화되지 않습니다. 자세한 내용은 http://kb.vmware.com/kb/2121183을 참조하십시오.

연결 서버 인스턴스 및 VMware Horizon 8 데스크톱의 경우 본 가이드의 설명에 따라 Horizon LDAP 데이터베이스, locked.properties 파일 또는 레지스트리를 편집함으로써 이러한 암호 그룹을 활성화할 수 있습니다. 전역 수락 및 제안 정책 변경, 개별 서버의 수락 정책 구성 및 VMware Horizon 8 환경에서 원격 데스크톱의 제안 정책 구성 항목을 참조하십시오. 다음 제품군 중 하나 이상을 포함하는 암호 제품군 목록을 아래의 순서대로 정의할 수 있습니다.

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256(TLS 1.2만 해당, FIPS 제외)
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384(TLS 1.2만 해당, FIPS 제외)
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256(TLS 1.2만 해당)
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256(TLS 1.2만 해당)
TLS_DHE_DSS_WITH_AES_256_CBC_SHA

Horizon Agent Direct-Connection 플러그인 시스템의 경우 "Horizon 8 설치 및 업그레이드" 문서의 "Horizon Agent 시스템용 SSL/TLS에서 취약한 암호 비활성화" 절차를 따를 때 암호 목록에 다음을 추가하면 DHE 암호 그룹을 활성화할 수 있습니다.

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

참고: ECDSA 인증서에 대한 지원을 활성화할 수 없습니다. 이러한 인증서는 지원된 적이 없습니다.

SHA-1

FIPS 모드에서 인증서가 SHA-1을 사용하여 서명된 경우 "인증서가 알고리즘 제약 조건을 준수하지 않음"을 나타내며 실패합니다. 루트 인증서를 포함하여 체인의 모든 인증서에 적용합니다. 이 서명 알고리즘이 사용되지 않는 이유에 대한 자세한 내용은 https://cabforum.org/wp-content/uploads/BRv1.2.5.pdf를 참조하십시오.

가능한 경우 실패한 인증서를 교체합니다. 이 작업을 수행할 수 없는 경우 LDAP를 편집하여 SHA-1 서명을 다시 활성화할 수 있습니다. CN=Common,OU=Global,OU=Properties,DC=vdi,DC=vmware,DC=int로 이동합니다. 쉼표로 구분된 값 목록에 rsa_pkcs1_sha1을 추가하여 특성 pae-SSLClientSignatureSchemes를 수정합니다. 수정된 특성을 저장한 다음, 클러스터의 각 연결 서버에서 연결 서버 서비스를 한 번에 하나씩 다시 시작합니다.

PFS(Forward Secrecy) 없음

자세한 내용은 https://datatracker.ietf.org/doc/html/rfc7525 항목을 참조하십시오. PFS(Forward Secrecy)를 나타내지 않는 키 교환 알고리즘을 지정하는 암호 그룹은 기본적으로 비활성화됩니다. 이러한 암호 그룹을 활성화하는 방법에 대한 지침은 이 항목의 다른 섹션을 참조하십시오.

프로토콜 다시 활성화

위에 나열된 프로토콜은 적절한 이유로 더 이상 사용되지 않지만 하나 이상의 프로토콜을 다시 활성화해야 하는 사용 사례가 있을 수 있습니다. 그러면 아래 절차에 따라 프로토콜을 활성화할 수 있습니다.

연결 서버 인스턴스 및 VMware Horizon 8 데스크톱의 경우 C:\Program Files\VMware\VMware View\Server\jre\conf\security\java.security 구성 파일을 편집하여 프로토콜을 활성화할 수 있습니다. 파일 중앙 근처에는 jdk.tls.disabledAlgorithms 및 jdk.tls.legacyAlgorithms라는 여러 줄 항목이 2개 있습니다. jdk.tls.legacyAlgorithms에서 프로토콜이 발견되면 이 항목에서 해당 프로토콜과 그 뒤에 오는 쉼표를 제거합니다. jdk.tls.disabledAlgorithms에서 프로토콜이 발견되면 여기에서 프로토콜을 제거하고 이를 jdk.tls.legacyAlgorithms에 추가합니다. 이 파일을 변경한 후 연결 서버 또는 Horizon Agent 시스템을 다시 시작합니다.

또한 "Horizon 8 설치 및 업그레이드" 문서의 "연결 서버에서 vCenter 연결에 TLSv1 사용" 섹션을 참조하십시오.

Horizon Agent Direct-Connection(이전 명칭 VADC) 시스템의 경우 "Horizon 8 설치 및 업그레이드" 문서의 "SSL/TLS Horizon Agent 시스템에서 취약한 암호 비활성화” 절차를 따를 때 암호 목록에 줄을 추가하면 프로토콜을 활성화할 수 있습니다. 예를 들어 RC4를 활성화하려면 다음을 추가할 수 있습니다.

TLS_RSA_WITH_RC4_128_SHA