您必須遵循特定指導方針來設定 VMware Horizon 8 Server 與相關元件的 TLS 憑證。

Horizon Connection Server

與伺服器的用戶端連線需要使用 TLS。終止 TLS 連線的用戶端對向連線伺服器執行個體和中繼伺服器需要 TLS 伺服器憑證。

依預設,安裝連線伺服器時,安裝會為伺服器產生自我簽署憑證。不過,在下列情況下,安裝會使用現有的憑證:
  • 如果擁有 vdm 易記名稱的有效憑證已存在於 Windows 憑證存放區中
  • 如果您從較舊的版本升級到 VMware Horizon 8,且 Windows Server 電腦上已設定有效的金鑰儲存區檔案,則安裝會擷取金鑰和憑證,並將其匯入至 Windows 憑證存放區。

vCenter Server

將 vCenter Server 新增至生產環境中的 VMware Horizon 8 之前,請確保 vCenter Server 使用由 CA 簽署的憑證。

如需取代 vCenter Server 的預設憑證的相關資訊,請參閱 VMware vSphere 說明文件網站vSphere 驗證文件中的〈大型部署中的憑證取代〉。

PCoIP 安全閘道

為符合產業或管轄區域安全法規,您可以將 PCoIP 安全閘道 (PSG) 服務產生的預設 TLS 憑證取代為 CA 簽署的憑證。強烈建議您設定 PSG 服務使用 CA 簽署的憑證,尤其是要求使用安全掃描程式才能通過符合性測試的部署。請參閱 TLS

Blast 安全閘道

依預設,Blast 安全閘道 (BSG) 會使用針對執行 BSG 的連線伺服器執行個體而設定的 TLS 憑證。如果您使用 CA 簽署的憑證取代伺服器的預設自我簽署憑證,則 BSG 也會使用 CA 簽署的憑證。

註冊伺服器

從連線伺服器連線至註冊伺服器時,需要使用 TLS。依預設,註冊伺服器會為該伺服器產生自我簽署憑證。但是,如果「Windows 憑證存放區」中已存在易記名稱為 vdm.es 的有效憑證,則安裝將使用現有憑證。

資料庫伺服器

若要對用於裝載主機事件資料庫的資料庫伺服器啟用 TLS 通訊,請確保資料庫伺服器使用 CA 簽署的憑證。若要在資料庫伺服器上設定 TLS 憑證,請參閱來自個別資料庫提供者的說明文件。

SAML 2.0 驗證器

VMware Workspace ONE Access 使用 SAML 2.0 驗證器提供整個安全網域的 Web 型驗證與授權。如果您希望 VMware Horizon 8 將驗證委派給 VMware Workspace ONE Access,可以設定 VMware Horizon 8 接受來自 VMware Workspace ONE Access 的 SAML 2.0 已驗證工作階段。若將 VMware Workspace ONE Access 設定為支援 VMware Horizon 8,則 VMware Workspace ONE Access 使用者可以選取 Horizon 使用者入口網站上的桌面平台圖示,以連線至遠端桌面平台。

Horizon Console 中,您可以設定 SAML 2.0 驗證器與連線伺服器執行個體搭配使用。

Horizon Console 中新增 SAML 2.0 驗證器之前,請確認 SAML 2.0 驗證器使用由 CA 簽署的憑證。

其他指導方針

如需要求及使用由 CA 簽署的 TLS 憑證的一般資訊,請參閱 TLS

當用戶端端點連線至連線伺服器執行個體時,系統將向它們出示伺服器的 TLS 伺服器憑證,以及信任鏈結中的任何中繼憑證 (中繼憑證位於連線伺服器的 Windows 中繼憑證授權機構存放區中)。若要信任伺服器憑證,用戶端系統必須已經安裝簽署 CA 的根憑證。

在建立 TLS 連線時,vCenter Server 不會出示中繼憑證。連線伺服器執行個體在其 Windows 中繼憑證授權機構存放區中應要有這些中繼憑證。請參閱知識庫 2108294

同樣地,如果為連線伺服器設定了 SAML 2.0 驗證器,則連線伺服器電腦必須已為 SAML 2.0 伺服器憑證安裝簽署 CA 的根憑證。