從 View Agent 6.2 開始,您可以透過編輯 Windows 登錄來設定 HTML Access Agent 使用的加密套件。從 View Agent 6.2.1 開始,您也可以設定所使用的安全性通訊協定。您也可以在群組原則物件 (GPO) 中指定組態。

執行這項作業的原因和時機

對於 View Agent 6.2.1 和更新版本,HTML Access Agent 預設僅使用 TLS 1.1 和 TLS 1.2。允許的通訊協定如下 (從低到高):TLS 1.0、TLS 1.1 和 TLS 1.2。絕不允許較舊的通訊協定,例如 SSLv3 和更早的通訊協定。SslProtocolLowSslProtocolHigh 這兩個登錄值會決定 HTML Access Agent 將接受的通訊協定範圍。例如,SslProtocolLow=tls_1.0SslProtocolHigh=tls_1.2 設定將造成 HTML Access Agent 接受 TLS 1.0、TLS 1.1 和 TLS 1.2。預設設定為 SslProtocolLow=tls_1.1SslProtocolHigh=tls_1.2

您必須使用 https://www.openssl.org/docs/manmaster/man1/ciphers.html 的〈CIPHER LIST FORMAT〉一節中所定義的格式來指定加密清單。下列是預設的加密清單:

ECDHE-RSA-AES256-SHA:AES256-SHA:HIGH:!AESGCM:!CAMELLIA:!3DES:!EDH:!EXPORT:!MD5:!PSK:!RC4:!SRP:!aNULL:!eNULL

程序

  1. 啟動 Windows 登錄編輯程式。
  2. 導覽至 HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware Blast\Config 登錄機碼。
  3. 新增兩個新字串 (REG_SZ) 值 SslProtocolLowSslProtocolHigh,以指定通訊協定的範圍。

    登錄值的資料必須是 tls_1.0tls_1.1tls_1.2。若僅要啟用一個通訊協定,請為這兩個登錄值指定相同的通訊協定。如果這兩個登錄值有任何一個不存在,或其資料未設為三個通訊協定的其中一個,則會使用預設的通訊協定。

  4. 新增新字串 (REG_SZ) 值 SslCiphers,以指定加密套件清單。

    在登錄值的資料欄位中輸入或貼上加密套件清單。例如,

    ECDHE-RSA-AES256-SHA:HIGH:!AESGCM:!CAMELLIA:!3DES:!EDH:!EXPORT:!MD5:!PSK:!RC4:!SRP:!aNULL:!eNULL
  5. 重新啟動 VMware Blast 這個 Windows 服務。

結果

若要還原為使用預設加密清單,請刪除 SslCiphers 登錄值,並重新啟動 VMware Blast 這個 Windows 服務。請勿僅刪除值的資料部分,因為 HTML Access Agent 會依據 OpenSSL 加密清單格式定義,將所有加密視為無法接受。

HTML Access Agent 啟動時,會將通訊協定和加密資訊寫入其記錄檔。您可以檢查記錄檔,以判斷所實施的值。

在未來,預設的通訊協定和加密套件可能會變更,以因應 VMware 不斷演進的網路安全性最佳做法。