依預設,在 VMware Horizon 中會停用某些被認為不再安全的舊版通訊協定和加密。如有必要,您可以手動加以啟用。
已停用通訊協定和加密
- SSLv3
如需詳細資訊,請參閱 http://tools.ietf.org/html/rfc7568。
- TLSv1 和 TLSv1.1
如需詳細資訊,請參閱https://datatracker.ietf.org/doc/html/rfc8996和https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-52r2.pdf。
- RC4
如需詳細資訊,請參閱 http://tools.ietf.org/html/rfc7465。
DHE 加密套件
與 DSA 憑證相容的加密套件會使用 Diffie-Hellman 暫時金鑰,且自 Horizon 6 (6.2 版) 起,這些套件已不再預設為啟用。如需詳細資訊,請參閱 http://kb.vmware.com/kb/2121183。
對於連線伺服器執行個體和 VMware Horizon 桌面平台,您可以藉由編輯 Horizon LDAP 資料庫、locked.properties 檔案或登錄來啟用這些加密套件,如本指南中所述。請參閱變更全域接受與建議原則、設定個別伺服器上的接受原則與在遠端桌面平台上設定建議原則。您可以依照下列順序,定義包含一或多個下列套件的加密套件清單:
- TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 (僅限 TLS 1.2,不是 FIPS)
- TLS_DHE_DSS_WITH_AES_256_GCM_SHA384 (僅限 TLS 1.2,不是 FIPS)
- TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 (僅限 TLS 1.2)
- TLS_DHE_DSS_WITH_AES_128_CBC_SHA
- TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 (僅限 TLS 1.2)
- TLS_DHE_DSS_WITH_AES_256_CBC_SHA
對於 Horizon Agent Direct-Connection 外掛程式機器,您可以在執行《Horizon 安裝和升級》文件中的「針對 Horizon Agent 機器停用 SSL/TLS 中的弱加密」程序時,將下列項目新增至加密清單,以啟用 DHE 加密套件。
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
SHA-1
在 FIPS 模式下,如果憑證是使用 SHA-1 簽署的,則憑證驗證將失敗並顯示 "Certificates do not conform to algorithm constraints"。這適用於鏈結中的任何憑證,包括根憑證。如需為何淘汰此簽章演算法的詳細資訊,請參閱 https://cabforum.org/wp-content/uploads/BRv1.2.5.pdf。
請取代失敗的憑證 (如果可能)。如果無法完成此操作,可以透過編輯 LDAP 來重新啟用 SHA-1 簽章。導覽至 CN=Common,OU=Global,OU=Properties,DC=vdi,DC=vmware,DC=int。透過將 rsa_pkcs1_sha1 新增至以逗號分隔的值清單來修改屬性 pae-SSLClientSignatureSchemes。儲存修改後的屬性,然後在叢集中的每個連線伺服器上重新啟動連線伺服器服務,一次啟動一個。
無完美轉送保密 (PFS)
如需詳細資訊,請參閱https://datatracker.ietf.org/doc/html/rfc7525。依預設會停用指定不顯示完美轉送保密 (PFS) 的金鑰交換演演算法的加密套件。如需有關如何啟用這些加密套件的相關指示,請參閱本主題的其他章節。
重新啟用通訊協定
儘管淘汰上列通訊協定的理由非常充分,但您可能會遇到需要在其中重新啟用一或多個通訊協定的使用案例。若是如此,您可以依照下列程序啟用這些通訊協定。
對於連線伺服器執行個體和 VMware Horizon 桌面平台,您可以藉由編輯組態檔 C:\Program Files\VMware\VMware View\Server\jre\conf\security\java.security,在連線伺服器或 Horizon Agent 機器上啟用通訊協定。檔案的結尾處是名為 jdk.tls.legacyAlgorithms
的多行項目。請從這個項目中移除通訊協定和其後的逗號,並重新啟動連線伺服器或 Horizon Agent 機器。
另請參閱《Horizon 安裝和升級》文件中的〈啟用從連線伺服器連往 vCenter 的 TLSv1 連線〉一節。
對於 Horizon Agent Direct-Connection (VADC) 機器,您可以執行《Horizon 安裝和升級》文件中的「針對 Horizon Agent 機器停用 SSL/TLS 中的弱加密」程序時,將一行新增至加密清單以啟用通訊協定。例如,若要啟用 RC4,您可以新增以下內容。
TLS_RSA_WITH_RC4_128_SHA