5.1

Table Of Contents
Lorsque vous obtenez un certificat de serveur d'une autorité de certification tierce (CA), le certificat contient
un ou plusieurs mécanismes permettant de déterminer son état de révocation, notamment, par exemple, une
adresse URL de point de distribution de liste CRL ou l'adresse URL d'un répondeur OCSP. Si vous disposez
de votre propre autorité CA et générez un certificat sans y placer des informations de révocation, la vérification
de la révocation de certificat échoue. Par exemple, les informations de révocation pour ce type de certificat
peuvent inclure une adresse URL d'accès à un point de distribution de liste CRL Web sur un serveur qui héberge
une liste CRL.
Si vous disposez de votre propre autorité CA et que vous ne placez pas ou ne pouvez pas placer des
informations de révocation de certificat dans le certificat, vous pouvez décider de ne pas vérifier la révocation
ou de vérifier uniquement certains certificats d'une chaîne. Sur le serveur View server, avec l'éditeur de registre
Windows, vous pouvez créer la valeur (REG_SZ) de type chaîne [CertificateRevocationCheckType] sous
HKLM\Software\VMware, Inc.\VMware VDM\Security et définir pour cette valeur l'une des valeurs de données
suivantes.
Valeur Description
1 Aucune vérification de révocation de certificat.
2 Vérification du certificat du serveur uniquement. Pas de vérification des autres certificats de la chaîne.
3 Vérification de tous les certificats de la chaîne.
4 (Valeur par défaut) Vérification de tous les certificats, à l'exception du certificat racine.
Si vous ne définissez pas cette valeur de registre ou que la valeur définie n'est pas valide (à savoir, elle n'est
pas égale à 1, 2, 3 ou 4), tous les certificats sont vérifiés, à l'exception du certificat racine. Définissez cette valeur
de registre sur chaque serveur View server sur lequel vous voulez modifier la vérification de révocation. Il est
inutile de redémarrer le système après avoir défini cette valeur.
Configuration de la vérification de certificat dans View Client pour
Windows
Vous pouvez utiliser un paramètre de stratégie de groupe lié à la sécurité dans le fichier de modèle
d'administration de configuration de View Client (vdm_client.adm) pour configurer la vérification de certificat
de serveur SSL dans View Client pour Windows.
La vérification des certificats se produit pour les connexions SSL entre Serveur de connexion View et View
Client. La vérification des certificats inclut toutes les vérifications suivantes :
n
Le certificat a-t-il été révoqué ? Est-il possible de déterminer si le certificat a été révoqué ?
n
Le certificat a-t-il un autre but que de vérifier l'identité de l'expéditeur et de chiffrer les communications
du serveur ? Autrement dit, s'agit-il du bon type de certificat ?
n
Le certificat a-t-il expiré, ou est-il valide uniquement dans le futur ? Autrement dit, le certificat est-il valide
en fonction de l'horloge de l'ordinateur ?
n
Le nom commun sur le certificat correspond-il au nom d'hôte du serveur qui l'envoie ? Une incompatibilité
peut se produire si un équilibreur de charge redirige View Client vers un serveur avec un certificat qui ne
correspond pas au nom d'hôte que l'utilisateur a entré. Une incompatibilité peut également se produire
si l'utilisateur entre une adresse IP à la place d'un nom d'hôte dans le client.
n
Le certificat est-il signé par une autorité de certification inconnue ou non approuvée ? Les certificats auto-
signés sont un type d'autorité de certification non approuvée.
Pour passer avec succès cette vérification, la chaîne d'approbation du certificat doit être associée à une
racine dans le magasin de certificats local du périphérique.
Chapitre 7 Configuration de certificats SSL pour des View Servers
VMware, Inc. 89