您可以透過編輯 absg.properties 檔案,以設定 BSG 的用戶端接聽程式可接受的安全性通訊協定及加密套件。

允許的通訊協定如下 (從低到高):TLS 1.0、TLS 1.1 和 TLS 1.2。絕不允許較舊的通訊協定,例如 SSLv3 和更早的通訊協定。localHttpsProtocolLowlocalHttpsProtocolHigh 這兩個內容會決定 BSG 接聽程式將接受的通訊協定範圍。例如,設定 localHttpsProtocolLow=tls1.0localHttpsProtocolHigh=tls1.2 會導致接聽程式接受 TLS 1.0、TLS 1.1 和 TLS 1.2。預設設定為 localHttpsProtocolLow=tls1.2localHttpsProtocolHigh=tls1.2,表示依預設僅允許使用 TLS 1.2。您可以檢查 BSG 的 absg.log 檔案來找出針對特定 BSG 執行個體所實施的值。

您必須使用 OpenSSL 中定義的格式來指定加密清單。您可以在網頁瀏覽器中搜尋 openssl cipher string,然後查看加密清單格式。下列是預設的加密清單:

ECDHE+AESGCM
備註: 在 FIPS 模式中,僅會啟用 GCM 加密套件 ( ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256)。

程序

  1. 在連線伺服器執行個體上,編輯檔案 install_directory\VMware\VMware View\Server\appblastgateway\absg.properties
    依預設,安裝目錄為 %ProgramFiles%
  2. 編輯 localHttpsProtocolLowlocalHttpsProtocolHigh 內容來指定通訊協定範圍。
    例如,
    localHttpsProtocolLow=tls1.0
    localHttpsProtocolHigh=tls1.2

    若僅要啟用一個通訊協定,請為 localHttpsProtocolLowlocalHttpsProtocolHigh 指定相同的通訊協定。

  3. 編輯 localHttpsCipherSpec 內容來指定加密套件清單。
    例如,
    localHttpsCipherSpec=!aNULL:kECDH+AESGCM:ECDH+AESGCM:kECDH+AES:ECDH+AES
  4. 重新啟動 Windows 服務 VMware Horizon Blast 安全閘道。