停用的通訊協定和加密

DHE 加密套件

與 DSA 憑證相容的加密套件會使用 Diffie-Hellman 暫時金鑰，且自 Horizon 6 (6.2 版) 起，依預設，這些套件不再啟用。如需詳細資訊，請參閱 http://kb.vmware.com/kb/2121183。

對於連線伺服器執行個體和 VMware Horizon 8 桌面平台，您可以藉由編輯 Horizon LDAP 資料庫、locked.properties 檔案或登錄來啟用這些加密套件，如本指南中所述。請參閱變更全域接受與建議原則、設定個別伺服器上的接受原則與在 VMware Horizon 8 環境中的遠端桌面平台上設定建議原則。您可以依照下列順序，定義包含一或多個下列套件的加密套件清單：

• TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 (僅限 TLS 1.2，不是 FIPS)
• TLS_DHE_DSS_WITH_AES_256_GCM_SHA384 (僅限 TLS 1.2，不是 FIPS)
• TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 (僅限 TLS 1.2)
• TLS_DHE_DSS_WITH_AES_128_CBC_SHA
• TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 (僅限 TLS 1.2)
• TLS_DHE_DSS_WITH_AES_256_CBC_SHA

對於 Horizon Agent Direct-Connection 外掛程式機器，您可以在執行《Horizon 8 安裝和升級》文件中的〈針對 Horizon Agent 機器停用 SSL/TLS 中的弱加密〉程序時，將下列項目新增至加密清單，以啟用 DHE 加密套件。

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

SHA-1

在 FIPS 模式下，如果憑證是使用 SHA-1 簽署的，則憑證驗證將失敗並顯示 "Certificates do not conform to algorithm constraints"。這適用於鏈結中的任何憑證，包括根憑證。如需為何淘汰此簽章演算法的詳細資訊，請參閱 https://cabforum.org/wp-content/uploads/BRv1.2.5.pdf。

請取代失敗的憑證 (如果可能)。如果無法完成此作業，可透過編輯 LDAP 來重新啟用 SHA-1 簽章。導覽至 CN=Common,OU=Global,OU=Properties,DC=vdi,DC=vmware,DC=int。透過將 rsa_pkcs1_sha1 新增至以逗號分隔的值清單來修改屬性 pae-SSLClientSignatureSchemes。儲存修改後的屬性，然後在叢集中的每個連線伺服器上重新啟動連線伺服器服務，一次啟動一個。

無完美轉送保密 (PFS)

如需詳細資訊，請參閱https://datatracker.ietf.org/doc/html/rfc7525。依預設，會停用指定不顯示完美轉送保密 (PFS) 的金鑰交換演演算法的加密套件。如需有關如何啟用這些加密套件的相關指示，請參閱本主題的其他章節。

重新啟用通訊協定

儘管淘汰上述通訊協定的理由非常充分，但您可能會遇到需要在其中重新啟用一或多個通訊協定的使用案例。若是如此，您可以依照下列程序來啟用這些通訊協定。

對於連線伺服器執行個體和 VMware Horizon 8 桌面平台，您可以藉由編輯組態檔 C:\Program Files\VMware\VMware View\Server\jre\conf\security\java.security 來啟用通訊協定。檔案的結尾處是名為 jdk.tls.legacyAlgorithms 的多行項目。請從這個項目中移除通訊協定和其後的逗號，並重新啟動連線伺服器或 Horizon Agent 機器。

另請參閱《Horizon 8 安裝和升級》文件中的〈啟用從連線伺服器連往 vCenter 的 TLSv1 連線〉一節。

對於 Horizon Agent Direct-Connection (VADC) 機器，您可以執行《Horizon 8 安裝和升級》文件中的〈針對 Horizon Agent 機器停用 SSL/TLS 中的弱加密〉程序時，新增一行至加密清單，以啟用通訊協定。例如，若要啟用 RC4，您可以新增以下內容。

TLS_RSA_WITH_RC4_128_SHA