若要在直接連線工作階段中獲得更高的安全性,您可以修改 /etc/nginx/conf.d/vmwvadc.conf 組態檔案,以禁止在 SSL/TLS 通訊中使用弱加密,並使用憑證授權機構所簽署的憑證來取代預設的自我簽署 TLS 伺服器憑證。
備註: 執行
Horizon Agent 2111 或更新版本的 Linux 桌面平台上支援 Horizon Agent Direct-Connection 外掛程式。
禁止在 SSL/TLS 通訊中使用弱加密
備註: 如果
Horizon Client 未設定為支援任何受虛擬桌面平台作業系統支援的密碼,TLS/SSL 交涉將會失敗,並且用戶端將無法連線。
如需設定 Horizon Client 中支援之加密套件的相關資訊,請參閱 Horizon Client 文件,網址為 https://www.vmware.com/support/viewclients/doc/viewclients_pubs.html。
在
/etc/nginx/conf.d/vmwvadc.conf 組態檔案中的
###Enable https
底下,下面這行會指定預設的加密清單。
ssl_ciphers !aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES;
若要禁止使用弱加密,請使用 https://www.openssl.org/docs/ 中所述的加密清單格式,將加密字串新增到 ssl_ciphers
行。
取代自我簽署的 TLS 伺服器憑證
在安裝後第一次啟動 Horizon Agent Direct-Connection 外掛程式 (舊稱「View Agent Direct-Connection 外掛程式」) 時,它會自動產生自我簽署的 TLS 伺服器憑證。TLS 通訊協定交涉期間,會向 Horizon Client 呈現 TLS 伺服器憑證,以便向用戶端提供此桌面平台的相關資訊。
預設的自我簽署 TLS 伺服器憑證無法為 Horizon Client 提供足夠的保護,來抵禦遭竄改和竊聽的威脅。為了防範這些威脅,您必須使用憑證授權機構 (CA) 所簽署、為用戶端所信任,且已投過 Horizon Client 憑證檢查進行過完整驗證的憑證,來取代自我簽署憑證。
支援具有主體別名 (SAN) 的憑證和萬用字元憑證。
在
/etc/nginx/conf.d/vmwvadc.conf 組態檔案中的
###Enable https
底下,下面幾行會指定預設的自我簽署憑證和私密金鑰。
ssl_certificate /etc/vmware/ssl/rui.crt; ssl_certificate_key /etc/vmware/ssl/rui.key;
請將這幾行內的預設項目取代為 CA 簽署憑證和私密金鑰的檔案路徑。