依預設,在 VMware Horizon 中會停用某些被認為不再安全的舊版通訊協定和加密。如有必要,您可以手動加以啟用。
DHE 加密套件
如需詳細資訊,請參閱 http://kb.vmware.com/kb/2121183。與 DSA 憑證相容的加密套件會使用 Diffie-Hellman 暫時金鑰,且自 Horizon 6 (6.2 版) 起,這些套件已不再預設為啟用。
對於連線伺服器執行個體和 VMware Horizon 桌面平台,您可以藉由編輯 Horizon LDAP 資料庫、locked.properties 檔案或登錄來啟用這些加密套件,如本指南中所述。請參閱變更全域接受與建議原則、設定個別伺服器上的接受原則與在遠端桌面平台上設定建議原則。您可以依照下列順序,定義包含一或多個下列套件的加密套件清單:
- TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 (僅限 TLS 1.2,不是 FIPS)
- TLS_DHE_DSS_WITH_AES_256_GCM_SHA384 (僅限 TLS 1.2,不是 FIPS)
- TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 (僅限 TLS 1.2)
- TLS_DHE_DSS_WITH_AES_128_CBC_SHA
- TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 (僅限 TLS 1.2)
- TLS_DHE_DSS_WITH_AES_256_CBC_SHA
對於 View Agent Direct-Connection (VADC) 機器,您可以在執行《Horizon 安裝》文件中的〈針對 Horizon Agent 機器停用 SSL/TLS 中的弱加密〉程序時,將下列項目新增至加密清單,以啟用 DHE 加密套件。
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
SSLv3
在 VMware Horizon 中,已移除 SSL 3.0 版。
RC4
對於連線伺服器執行個體和 VMware Horizon 桌面平台,您可以藉由編輯組態檔 C:\Program Files\VMware\VMware View\Server\jre\conf\security\java.security,在連線伺服器或 Horizon Agent 機器上啟用 RC4。檔案的結尾處是名為 jdk.tls.legacyAlgorithms
的多行項目。請從這個項目中移除 RC4_128
和其後的逗號,並視情況重新啟動連線伺服器或 Horizon Agent 機器。
對於 View Agent Direct-Connection (VADC) 機器,您可以在執行《Horizon 安裝》文件中的〈針對 Horizon Agent 機器停用 SSL/TLS 中的弱加密〉程序時,將下列項目新增至加密清單以啟用 RC4。
TLS_RSA_WITH_RC4_128_SHA
TLS 1.0
在 VMware Horizon 中,TLS 1.0 依預設為停用。
如需詳細資訊,請參閱 https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-1.pdf 和 http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-52r1.pdf。如需如何啟用 TLS 1.0 的指示,請參閱《Horizon 升級》文件中的〈在從連線伺服器連往 vCenter 的連線上啟用 TLSv1〉。