已連接智慧卡的連線伺服器執行個體或安全伺服器,無法對伺服器的 TLS 憑證執行憑證撤銷檢查,除非您已設定智慧卡憑證撤銷檢查。

問題

如果您的組織使用 Proxy 伺服器來進行網際網路存取,或是連線伺服器執行個體或安全伺服器因防火牆或其他控制項,而無法與提供撤銷檢查的伺服器連線,則憑證撤銷檢查可能會失敗。

重要: 請確定 CRL 檔案為最新。

原因

Horizon 7 使用「憑證撤銷清單」(CRL) 和「線上憑證狀態通訊協定」(OCSP) 來支援憑證撤銷檢查。CRL 是核發憑證的 CA (憑證授權機構) 所發佈的撤銷憑證清單。OCSP 是用來取得 X.509 憑證的撤銷狀態的憑證驗證通訊協定。必須可以從連線伺服器或安全伺服器主機存取 CA。只有在設定智慧卡憑證撤銷檢查時,才會發生此問題。請參閱使用智慧卡憑證撤銷檢查

解決方案

  1. 建立您自己專屬 (手動) 程序,從您使用的 CA 網站下載最新的 CRL 到 Horizon 7 Server 上的路徑。
  2. 在連線伺服器或安全伺服器主機上的 TLS/SSL 閘道組態資料夾中,建立或編輯 locked.properties 檔案。
    例如: install_directory\VMware\VMware View\Server\SSLgateway\conf\locked.properties
  3. locked.properties 檔案中的 enableRevocationCheckingcrlLocation 內容新增至儲存 CRL 的本機路徑。
  4. 重新啟動連線伺服器服務或安全伺服器服務,讓您的變更生效。