Horizon Client 與伺服器之間連線時會發生伺服器憑證檢查。憑證是一種數位身分識別格式,類似於護照或駕駛人的駕照。

關於憑證檢查

伺服器憑證檢查包括下列檢查:

  • 憑證是否用於驗證寄件者身分並將伺服器通訊加密以外的目的?也就是說,它是正確的憑證類型嗎?
  • 憑證是否已到期,或是尚未生效?也就是說,根據電腦的時鐘,憑證有效嗎?
  • 憑證上的一般名稱是否符合傳送該憑證的伺服器主機名稱?如果負載平衡器將 Horizon Client重新導向至一台其憑證與在Horizon Client 中輸入的主機名稱不符的伺服器,則會發生不符的情形。另一個會發生不符的原因是您在用戶端輸入 IP 位址,而非主機名稱。
  • 憑證是由未知或未受信任的憑證授權機構 (CA) 簽署的嗎?自我簽署憑證是一種未受信任的憑證授權機構。若要通過此檢查,必須將憑證之信任鏈放在裝置之本機憑證存放區的根目錄。

如需散佈自我簽署根憑證並將其安裝於 Mac 用戶端系統的相關資訊,請參閱您所使用之 Mac Server 的《進階伺服器管理》文件 (此文件可於 Apple 網站取得)。

如何設定憑證檢查模式

系統管理員可能要求使用者在 Horizon Client 中設定憑證檢查模式,以確保他們可以成功連線至伺服器。在某些公司中,管理員可能會在 Horizon Client 中設定憑證檢查模式,並防止使用者加以變更。

若要設定憑證檢查模式,請啟動 Horizon Client,然後從功能表列中選取 VMware Horizon Client > 喜好設定。您可以選取下列其中一個選項。

  • 永不連線至未受信任的伺服器。此設定表示如果任一憑證檢查失敗,則無法連線至伺服器。錯誤訊息列出失敗的檢查。
  • 在連線至未受信任的伺服器前提出警告。此設定表示如果憑證檢查失敗,您可以按一下繼續以忽略警告,因為伺服器使用自我簽署的憑證。針對自我簽署憑證,憑證名稱不需要符合您在 Horizon Client 中輸入的伺服器名稱。如果憑證已到期,您也可以收到警告。
  • 不要驗證伺服器身分識別憑證。此設定表示不會發生憑證檢查。

如果管理員稍後從受信任的憑證授權機構安裝安全憑證,且在您連線時所有憑證檢查均通過,則系統會為該伺服器記住這個受信任的連線。以後,如果那台伺服器再度提出自我簽署憑證的話,則該連線會失敗。在特別的伺服器提出可完全驗證的憑證之後,每次都必須這樣做。

您可以在 Horizon Client 中設定預設憑證檢查模式,並防止使用者加以變更。如需詳細資訊,請參閱設定使用者的憑證檢查模式

使用 SSL Proxy 伺服器

如果使用 SSL Proxy 伺服器檢查從用戶端環境傳送到網際網路的流量,請啟用通訊協定連線憑證驗證設定,並設定為 PKI 驗證指紋或 PKI 驗證。如果用戶端在 FIPS 模式下執行,請將此選項設定為 PKI 驗證。此設定會允許針對透過 SSL Proxy 伺服器的次要連線進行憑證檢查,並同時套用至 Blast 安全閘道和安全通道連線。如果使用 SSL Proxy 伺服器並啟用憑證檢查,但未將此設定設為 PKI指紋或 PKI,則連線會因為指紋不相符而失敗。如果啟用不要驗證伺服器身分識別憑證選項,則無法使用通訊協定連線憑證驗證模式。當不要驗證伺服器身分識別憑證選項啟用時,Horizon Client 就不會驗證憑證或指紋,並且一律會允許 SSL Proxy。您還可以透過 Horizon Client 群組原則設定來設定通訊協定連線憑證驗證模式。

您還可以透過 Horizon Client 群組原則設定來設定通訊協定連線憑證驗證模式。如需詳細資訊,請參閱〈使用群組原則設定來設定 Horizon Client〉。

若要允許透過 Proxy 伺服器進行 VMware Blast 連線,請參閱〈設定 Blast 選項〉。