Horizon Client 與伺服器之間連線時會發生伺服器憑證檢查。憑證是一種數位身分識別格式,類似於護照或駕駛人的駕照。

關於憑證檢查

伺服器憑證檢查包括下列檢查:

  • 憑證已被撤銷了嗎?
  • 憑證是否用於驗證寄件者身分並將伺服器通訊加密以外的目的?也就是說,它是正確的憑證類型嗎?
  • 憑證是否已到期,或是尚未生效?也就是說,根據電腦的時鐘,憑證有效嗎?
  • 憑證上的一般名稱是否符合傳送該憑證的伺服器主機名稱?如果負載平衡器將 Horizon Client重新導向至一台其憑證與在Horizon Client 中輸入的主機名稱不符的伺服器,則會發生不符的情形。另一個會發生不符的原因是您在用戶端輸入 IP 位址,而非主機名稱。
  • 憑證是由未知或未受信任的憑證授權機構 (CA) 簽署的嗎?自我簽署憑證是一種未受信任的憑證授權機構。若要通過此檢查,必須將憑證之信任鏈放在裝置之本機憑證存放區的根目錄。

如需將自我簽署根憑證散佈到網域中的所有 Windows 用戶端系統的資訊,請參閱《Horizon 安裝和升級》文件中的<將根憑證新增至信任的根憑證授權機構>。

如何設定憑證檢查模式

系統管理員可能要求使用者在 Horizon Client 中設定憑證檢查模式,以確保他們可以成功連線至伺服器。在某些公司中,管理員可能會在 Horizon Client 中設定憑證檢查模式,並防止使用者加以變更。

若要設定憑證檢查模式,請啟動 Horizon Client 並選取設定 > 安全性。您可以選取下列其中一個選項。請注意,您無法在 FIPS 模式下設定憑證檢查。

  • 永不連線至未受信任的伺服器。此設定表示如果任一憑證檢查失敗,則無法連線至伺服器。錯誤訊息列出失敗的檢查。
  • 在連線至未受信任的伺服器前提出警告。此設定表示如果憑證檢查失敗,您可以按一下繼續以忽略警告,因為伺服器使用自我簽署的憑證。針對自我簽署憑證,憑證名稱不需要符合您在 Horizon Client 中輸入的伺服器名稱。如果憑證已到期,您也可以收到警告。
  • 不要驗證伺服器身分識別憑證。此設定表示不會發生憑證檢查。

如果管理員稍後從受信任的憑證授權機構安裝安全憑證,且在您連線時所有憑證檢查均通過,則系統會為該伺服器記住這個受信任的連線。以後,如果那台伺服器再度提出自我簽署憑證的話,則該連線會失敗。在特別的伺服器提出可完全驗證的憑證之後,每次都必須這樣做。

重要:

如果您先前曾使用群組原則來設定公司的用戶端系統,以使用特定的密碼 (例如,藉由設定 [SSL 加密套件順序] 群組原則設定),則您現在必須使用 Horizon Client 群組原則安全性設定。請參閱使用群組原則設定來設定 Horizon Client。或者,您可以在用戶端系統上使用 SSLCipherList 登錄設定。請參閱使用 Windows 登錄設定 Horizon Client

您可以在 Horizon Client 中設定預設憑證檢查模式,並防止使用者加以變更。如需詳細資訊,請參閱設定使用者的憑證檢查模式

使用 SSL Proxy 伺服器

如果使用 SSL Proxy 伺服器檢查從用戶端環境傳送到網際網路的流量,請啟用通訊協定連線憑證驗證設定,並設定為 PKI 驗證指紋或 PKI 驗證。如果用戶端在 FIPS 模式下執行,請將此選項設定為 PKI 驗證。此設定會允許針對透過 SSL Proxy 伺服器的次要連線進行憑證檢查,並同時套用至 Blast 安全閘道和安全通道連線。如果使用 SSL Proxy 伺服器並啟用憑證檢查,但未將此設定設為 PKI指紋或 PKI,則連線會因為指紋不相符而失敗。如果啟用不要驗證伺服器身分識別憑證選項,則無法使用通訊協定連線憑證驗證模式。當不要驗證伺服器身分識別憑證選項啟用時,Horizon Client 就不會驗證憑證或指紋,並且一律會允許 SSL Proxy。您還可以透過 Horizon Client 群組原則設定來設定通訊協定連線憑證驗證模式。

您還可以透過 Horizon Client 群組原則設定來設定通訊協定連線憑證驗證模式。如需詳細資訊,請參閱〈使用群組原則設定來設定 Horizon Client〉。

您可以使用設定 Horizon Client 的 SSL Proxy 憑證檢查行為群組原則設定,來設定是否允許針對透過 SSL Proxy 伺服器的次要連線進行憑證檢查。

若要允許透過 Proxy 伺服器進行 VMware Blast 連線,請參閱〈設定 Blast 選項〉。