您可以使用 Windows 登錄設定 VMware Blast Windows 服務使用的加密套件和安全性通訊協定。

Horizon Agent 的發行版本而定,Blast Windows 服務支援以下安全性通訊協定。

發行版本 支援的通訊協定 預設設定
Horizon Agent 2312 及更新版本

TLS 1.1、TLS、1.2、TLS 1.3

備註: TLS 1.1 在 FIPS 模式下不受支援。
  • 在非 FIPS 模式下,會啟用 TLS 1.2 和 TLS 1.3。
  • 在 FIPS 模式中,會啟用 TLS 1.2。
Horizon Agent 2309 及更早版本 TLS 1.0、TLS 1.1、TLS 1.2 啟用 TLS 1.2。

一律不允許使用較舊的通訊協定,例如 SSLv3 和更早的通訊協定。SslProtocolLowSslProtocolHigh 這兩個登錄值會決定 Blast Windows 服務可接受的通訊協定範圍。

您必須使用 OpenSSL 中定義的格式指定加密清單。如需適當加密清單格式的準則,請在網頁瀏覽器中搜尋 openssl 加密字串。預設加密清單如下所示:

通訊協定 預設加密清單
TLS 1.1、TLS 1.2
ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256
TLS 1.3
TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256

程序

  1. 啟動 Windows 登錄編輯程式。
  2. 導覽至 HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware Blast\Config 登錄機碼。
  3. 若要指定通訊協定的範圍,請新增兩個新的字串 (REG_SZ) 值:SslProtocolLowSslProtocolHigh
    若僅要啟用一個通訊協定,請在資料欄位中為這兩個登錄值指定相同的通訊協定。例如,設定 SslProtocolLow=tls_1.3SslProtocolHigh=tls_1.3 會將 Blast Windows 服務配定為僅接受 TLS 1.3。
    備註: 如果登錄值不存在,或其資料未設定為支援的通訊協定字串,則會使用預設的通訊協定設定。支援的通訊協定字串如下所示:
    • Tls_1.3 (僅適用於 Horizon Agent 2312 和更新版本)
    • tls_1.2
    • tls_1.1
    • Tls_1.0 (僅適用於 Horizon Agent 2309 和更早版本)
  4. 若要指定加密套件清單,請新增下列的字串 (REG_SZ) 值:
    • 若為 TLS 1.1 或 TLS 1.2,請新增 SslCiphers 值。
    • 若為 TLS 1.3,請新增 SslCipherSuites 值。
    在登錄值的資料欄位中輸入或貼上加密套件清單。
  5. 重新啟動 Blast Windows 服務。

結果

當 Blast Windows 服務啟動時,它會將通訊協定和加密資訊寫入其記錄檔。您可以檢查記錄檔以判斷生效的值。

若要還原為使用預設加密清單,請刪除 SslCiphersSslCipherSuites 登錄值,並重新啟動這個 Blast Windows 服務。請勿刪除值的資料部分。如果您刪除值的資料部分,Blast Windows 服務會依據 OpenSSL 加密清單格式定義,將所有加密視為無法接受。

備註: 預設的通訊協定和加密套件可能會變更,以因應不斷演進的網路安全性最佳做法。