您必須遵循特定指導方針來設定 VMware Horizon Server 與相關元件的 TLS 憑證。

Horizon Connection Server

與伺服器的用戶端連線需要使用 TLS。終止 TLS 連線的用戶端對向連線伺服器執行個體和中繼伺服器需要 TLS 伺服器憑證。

依預設,安裝連線伺服器時,安裝會為伺服器產生自我簽署憑證。不過,在下列情況下,安裝會使用現有的憑證:
  • 如果擁有 vdm 易記名稱的有效憑證已存在於 Windows 憑證存放區中
  • 如果您從較舊的版本升級到 VMware Horizon,且 Windows Server 電腦上已設定有效的金鑰儲存區檔案,則安裝會擷取金鑰和憑證,並將其匯入至 Windows 憑證存放區。

vCenter Server

將 vCenter Server 新增至生產環境中的 VMware Horizon 之前,請確保 vCenter Server 使用由 CA 簽署的憑證。

如需取代 vCenter Server 的預設憑證的相關資訊,請參閱 VMware vSphere 說明文件網站vSphere 驗證文件中的〈大型部署中的憑證取代〉。

PCoIP 安全閘道

為符合產業或管轄區域安全法規,您可以將 PCoIP 安全閘道 (PSG) 服務產生的預設 TLS 憑證取代為 CA 簽署的憑證。強烈建議您設定 PSG 服務使用 CA 簽署的憑證,尤其是要求使用安全掃描程式才能通過符合性測試的部署。請參閱 TLS

Blast 安全閘道

依預設,Blast 安全閘道 (BSG) 會使用針對執行 BSG 的連線伺服器執行個體而設定的 TLS 憑證。如果您使用 CA 簽署的憑證取代伺服器的預設自我簽署憑證,則 BSG 也會使用 CA 簽署的憑證。

SAML 2.0 驗證器

VMware Workspace ONE Access 使用 SAML 2.0 驗證器提供整個安全網域的 Web 型驗證與授權。如果您希望 VMware Horizon 將驗證委派給 VMware Workspace ONE Access,可以設定 VMware Horizon 接受來自 VMware Workspace ONE Access 的 SAML 2.0 已驗證工作階段。若將 VMware Workspace ONE Access 設定為支援 VMware Horizon,則 VMware Workspace ONE Access 使用者可以選取 Horizon 使用者入口網站上的桌面平台圖示,以連線至遠端桌面平台。

Horizon Console 中,您可以設定 SAML 2.0 驗證器與連線伺服器執行個體搭配使用。

Horizon Console 中新增 SAML 2.0 驗證器之前,請確認 SAML 2.0 驗證器使用由 CA 簽署的憑證。

其他指導方針

如需要求及使用由 CA 簽署的 TLS 憑證的一般資訊,請參閱 TLS

用戶端端點連線至連線伺服器執行個體時,會與伺服器的 TLS 伺服器憑證以及信任鏈結中的任何中繼憑證一起呈現。若要信任伺服器憑證,用戶端系統必須已經安裝簽署 CA 的根憑證。

當連線伺服器與 vCenter Server 進行通訊時,連線伺服器會與 TLS 伺服器憑證以及此伺服器中的中繼憑證一起呈現。若要信任 vCenter Server,連線伺服器電腦必須已安裝簽署 CA 的根憑證。

同樣地,如果為連線伺服器設定了 SAML 2.0 驗證器,則連線伺服器電腦必須已為 SAML 2.0 伺服器憑證安裝簽署 CA 的根憑證。