每個連線伺服器執行個體會對其本身的憑證執行憑證撤銷檢查。每個執行個體也會在每次建立與 vCenter Server 的連線時檢查 vCenter Server 的憑證。根據預設,鏈結中的所有憑證都會加以檢查,但不包括根憑證。不過,您可以變更此預設值。
如果設定了 SAML 2.0 驗證器供連線伺服器執行個體使用,則連線伺服器同樣會對 SAML 2.0 伺服器憑證執行憑證撤銷檢查。
VMware Horizon 支援各種不同的憑證撤銷檢查方法,例如憑證撤銷清單 (CRL) 與線上憑證狀態通訊協定 (OCSP)。CRL 是核發憑證的 CA 所發佈的撤銷憑證清單。OCSP 是用來取得 X.509 憑證的撤銷狀態的憑證驗證通訊協定。
使用 CRL 時,會從憑證中經常指定的憑證發佈點 (DP) 下載已撤銷憑證的清單。伺服器會定期連線到憑證中指定的 CRL DP URL,下載清單,然後進行查看以判斷是否已撤銷伺服器憑證。使用 OCSP 時,伺服器會將要求傳送至 OCSP 回應者,以判斷憑證的撤銷狀態。
若您從協力廠商憑證授權機構 (CA) 取得伺服器憑證,該憑證會包含一種或多種可判斷其撤銷狀態的方法,例如 CRL DP URL 或 OCSP 回應者的 URL。如果您有自己的 CA 並且產生憑證,但是憑證中不包含撤銷資訊,則憑證撤銷檢查會失敗。這類憑證的撤銷資訊範例可能包括像是裝載 CRL 所在伺服器上 Web 型 CRL DP 的 URL。
如果您有自己的 CA,但是並未或無法在憑證中包含憑證撤銷資訊,您可以選擇不要檢查憑證的撤銷情形,或是只檢查鏈結中的特定憑證。在伺服器上,您可以使用 Windows 登錄編輯程式建立字串 (REG_SZ) 值 CertificateRevocationCheckType (位於 HKLM\Software\VMware, Inc.\VMware VDM\Security 下),然後將此值設為下列其中一個資料值。
值 | 說明 |
---|---|
1 | 不要執行憑證撤銷檢查。 |
2 | 僅檢查伺服器憑證。不要檢查鏈結中的其他任何憑證。 |
3 | 檢查鏈結中的所有憑證。 |
4 | (預設) 檢查根憑證以外的所有憑證。 |
如果未設定此登錄值,或是設定的值無效 (也就是值不是 1、2、3 或 4),則會檢查根憑證以外的所有憑證。請在您要修改撤銷檢查的每部伺服器上設定此登錄值。設定此值之後,不需要重新啟動系統。