您可以設定 HTML Access Agent 所使用的加密套件和安全性通訊協定。您也可以在群組原則物件 (GPO) 中指定組態。

依預設,HTML Access Agent 僅會使用 TLS 1.0、TLS 1.1 和 TLS 1.2。一律不允許使用較舊的通訊協定,例如 SSLv3 和更早的通訊協定。SslProtocolLowSslProtocolHigh 這兩個登錄值會決定 HTML Access Agent 可接受的通訊協定範圍。例如,設定 SslProtocolLow=tls_1.1SslProtocolHigh=tls_1.2 會導致 HTML Access Agent 接受 TLS 1.1 和 TLS 1.2。預設設定為 SslProtocolLow=tls_1.2SslProtocolHigh=tls_1.2,因此 HTML Access Agent 依預設僅會接受 TLS 1.2。

指定密碼清單時,您必須使用適當的加密清單格式。若要查看加密清單格式,您可以在網頁瀏覽器中搜尋 openssl 加密字串。下列是預設的加密清單: 

ECDHE+AESGCM

程序

  1. 啟動 Windows 登錄編輯程式。
  2. 導覽至 HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware Blast\Config 登錄機碼。
  3. 若要指定通訊協定的範圍,請新增兩個新的字串 (REG_SZ) 值:SslProtocolLowSslProtocolHigh
    登錄值的資料必須是 tls_1.1tls_1.2。若僅要啟用一個通訊協定,請為這兩個登錄值指定相同的通訊協定。如果登錄值不存在,或其資料未設為三個通訊協定的其中一個,則會使用預設的通訊協定。
  4. 若要指定加密套件清單,請新增字串 (REG_SZ) 值 SslCiphers
    在登錄值的資料欄位中輸入或貼上加密套件清單。例如, 
    ECDHE-RSA-AES256-SHA:HIGH:!AESGCM:!CAMELLIA:!3DES:!EDH:!EXPORT:!MD5:!PSK:!RC4:!SRP:!aNULL:!eNULL
  5. 重新啟動 VMware Blast Windows 服務。

結果

若要還原為使用預設加密清單,請刪除 SslCiphers 登錄值,並重新啟動 VMware Blast 這個 Windows 服務。請勿刪除值的資料部分。如果您刪除值的資料部分,HTML Access Agent 會依據 OpenSSL 加密清單格式定義,將所有加密視為無法接受。

HTML Access Agent 啟動時,會將通訊協定和加密資訊寫入其記錄檔。您可以檢查記錄檔,以判斷所實施的值。

備註: 預設的通訊協定和加密套件可能會變更,以因應不斷演進的網路安全性最佳做法。