每個連線伺服器執行個體會對其本身的憑證執行憑證撤銷檢查。每個執行個體也會在每次建立與 vCenter Server 的連線時檢查 vCenter Server 的憑證。根據預設,鏈結中的所有憑證都會加以檢查,但不包括根憑證。不過,您可以變更此預設值。
如果設定了 SAML 2.0 驗證器供連線伺服器執行個體使用,則連線伺服器同樣會對 SAML 2.0 伺服器憑證執行憑證撤銷檢查。
VMware Horizon 8 支援各種不同的憑證撤銷檢查方法,例如憑證撤銷清單 (CRL) 與線上憑證狀態通訊協定 (OCSP)。CRL 是核發憑證的 CA 所發佈的撤銷憑證清單。OCSP 是用來取得 X.509 憑證的撤銷狀態的憑證驗證通訊協定。
使用 CRL 時,會從憑證中經常指定的憑證發佈點 (DP) 下載已撤銷憑證的清單。伺服器會定期連線到憑證中指定的 CRL DP URL,下載清單,然後進行查看以判斷是否已撤銷伺服器憑證。使用 OCSP 時,伺服器會將要求傳送至 OCSP 回應者,以判斷憑證的撤銷狀態。
若您從協力廠商憑證授權機構 (CA) 取得伺服器憑證,該憑證會包含一種或多種可判斷其撤銷狀態的方法,例如 CRL DP URL 或 OCSP 回應者的 URL。如果您有自己的 CA 並且產生憑證,但是憑證中不包含撤銷資訊,則憑證撤銷檢查會失敗。這類憑證的撤銷資訊範例可能包括像是裝載 CRL 所在伺服器上 Web 型 CRL DP 的 URL。
如果您有自己的 CA,但是並未或無法在憑證中包含憑證撤銷資訊,您可以選擇不要檢查憑證的撤銷情形,或是只檢查鏈結中的特定憑證。在伺服器上,您可以使用 Windows 登錄編輯程式建立字串 (REG_SZ) 值 CertificateRevocationCheckType (位於 HKLM\Software\VMware, Inc.\VMware VDM\Security 下),然後將此值設為下列其中一個資料值。
值 | 說明 |
---|---|
1 | 不要執行憑證撤銷檢查。 |
2 | 僅檢查伺服器憑證。不要檢查鏈結中的其他任何憑證。 |
3 | 檢查鏈結中的所有憑證。 |
4 | (預設) 檢查根憑證以外的所有憑證。 |
如果未設定此登錄值,或是設定的值無效 (也就是值不是 1、2、3 或 4),則會檢查根憑證以外的所有憑證。請在您要修改撤銷檢查的每部伺服器上設定此登錄值。設定此值之後,不需要重新啟動系統。