VMware Horizon 會使用許多公開金鑰憑證。這些憑證中的一部分是使用涉及受信任第三方的機制進行驗證,但這種機制不一定能提供必要的精確度、速度或彈性。VMware Horizon 會使用一個替代機制,這在多種情況稱為指紋驗證。
指紋驗證不會驗證個別憑證欄位或建立信任的鏈結,而是會將憑證視為 Token,將整個位元組序列 (或其密碼編譯雜湊) 與預先共用的位元組序列或雜湊進行比對。一般來說,這是透過個別受信任通道的即時共用,且表示服務呈現的憑證可經過驗證而成為預期的確切憑證。
Horizon 訊息匯流排會在連線代理之間進行通訊,也會在 Horizon Agent 與連線代理執行個體之間進行通訊。設定通道會使用每一訊息簽章與裝載加密,而主要通道則是使用 TLS 與相互驗證加以保護。使用 TLS 來保護通道時,用戶端與伺服器的驗證會涉及 TLS 憑證和憑證指紋驗證。針對 Horizon 訊息匯流排通道,伺服器一律為訊息路由器。用戶端也可能成為訊息路由器,因為這是訊息路由器共用訊息的方式。不過,用戶端是連線代理執行個體或 Horizon Agent。
系統會以不同的方式提供初始憑證指紋及設定訊息簽署金鑰。在連線代理上,憑證指紋會儲存在 LDAP 中,以便 Horizon Agent 可以與任何連線代理通訊,且所有連線代理之間彼此可以通訊。Horizon 訊息匯流排伺服器和用戶端憑證會自動產生並定期交換,且會自動刪除過時的憑證,所以不需要手動介入或確實可行。主要通道每一端的憑證會根據排程自動產生,並透過設定通道進行交換。您無法自行取代這些憑證。系統會自動移除已到期的憑證。
類似機制適用於網繭間的通訊。
其他通訊通道可以使用客戶提供的憑證,但預設為自動產生憑證。其中包括安全通道、註冊伺服器和 vCenter 連線,以及顯示通訊協定和輔助通道。如需關於如何取代這些憑證的詳細資訊,請參閱《Horizon 管理》文件。預設憑證會在安裝時產生,且除了 PCoIP 之外不會自動更新。如果 PKI 產生的憑證無法供 PCoIP 使用,則會在每次啟動時自動產生新憑證。即便已使用 PKI 產生的憑證,這些通道多數仍會使用指紋驗證。
vCenter 憑證的驗證會使用技術的組合。連線代理執行個體一律會嘗試使用 PKI 來驗證所收到的憑證。如果此驗證失敗,則在檢閱憑證後,VMware Horizon 管理員可允許連線繼續,且連線代理會記住憑證的密碼編譯雜湊,以便用於後續使用指紋驗證的自動接受。