Anpassung der SSL Protokolle und Cipher Suites

Letzte Aktualisierung am 29.11.2020, 20:11:15 Uhr

Letztes Jahr habe ich den Artikel VMWare View 6.x – Anpassung der SSL Protokolle und Cipher Suites verfasst. Zum 19.06.2019 ist der General Support für VMWare View 6.x ausgelaufen. Daher war es an der Zeit die VDI Umgebung auf VMWare Horizon in der Version 7.7.0 hochzuziehen. Durch die Aktualisierung aller vorhandenen Connection- und Security Server auf die neue Programmversion, wurden natürlich alle Anpassungen aus dem damaligen Artikel überschrieben.

Die nachstehenden Änderungen/Ergänzungen können auf Connection- und bzw. oder Security Server angewendet werden. Bei Connection Server ist zu beachten, dass die eingesetzten  Zero/Thinclients die konfigurierten SSL Protokolle und Cipher Suites unterstützen. Anderenfalls ist vllt. eine Verbindung zu den virtuellen Maschinen (VMs) nicht mehr möglich.

Im Verzeichnis C:\Programme\VMware\VMware View\Server\sslgateway\conf eine neue Datei mit dem Namen locked.properties erstellen. Diese mit einem Editor öffnen und folgende Inhalt einfügen:

# The following list should be ordered with the latest protocol first:
secureProtocols.1=TLSv1.2

# This setting must be the latest protocol given in the list above:
preferredSecureProtocol=TLSv1.2

# The order of the following list is unimportant:
enabledCipherSuite.1=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
enabledCipherSuite.2=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
enabledCipherSuite.3=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

Die Änderungen speichern und die Datei schließen.

Anschließend in das Verzeichnis C:\Programme\VMware\VMware View\Server\appblastgateway\ wechseln. Dort die Datei absg.properties kopieren und den Dateinamen entsprechend anpassen. Damit klar ist, von wann die Datei ist. Falls etwas schief geht, kann schnell und einfach die Datei bzw. deren Inhalt zurück kopiert werden.

Folgende Abschnitte habe ich angepasst:

...
# The SSL cipher specification for the client-side listener.  This
# must be a cipher list in the OpenSSL format described at
# <https://www.openssl.org/docs/apps/ciphers.html>.
#
# The default cipher list value follows current best practices and may
# therefore vary from one release to another.  You can examine the BSG's
# absg.log file to discover the list that is in force for a specific BSG
# instance.
localHttpsCipherSpec=AES256+EECDH:AES256+EDH

# Allowed TLS protocol versions for the client-side listener.  Possible
# protocols are, from low to high: tls1.0, tls1.1, tls1.2.  Older
# protocols (SSLv3 and earlier) are never allowed.  The listener will
# accept all protocols from localHttpsProtocolLow to
# localHttpsProtocolHigh inclusive.  For example, setting
# localHttpsProtocolLow=tls1.0 and localHttpsProtocolHigh=tls1.2 will
# cause the listener to accept tls1.0, tls1.1 and tls1.2.
#
# Default valuess follow current best practices.  As of November 2015
# we have localHttpsProtocolLow=tls1.1 and localHttpsProtocolHigh=tls1.2.
# You can examine the BSG's absg.log file to discover the values that are
# in force for a specific BSG instance.
localHttpsProtocolLow=tls1.2
localHttpsProtocolHigh=tls1.2
...

Die Änderungen speichern und die Datei schließen.

Die Anpassungen für PCoIP sind aktuell ausschließlich über den Windows Registrierungs-Editor möglich. Folgende Zeilen in eine Datei mit dem Dateityp .reg abspeichern:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Teradici\SecurityGateway]
"SSLProtocol"="tls1.2"
"SSLCipherList"="ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256"

Nun die Datei auf dem entsprechenden Connection-/Securityserver kopieren und mit einem Doppelklick ausführen.

Damit die Änderungen wirksam werden, reicht es den Dienst „VMWare Horizon 7 Sicherheitsserver“ neu zu starten. Bis alle Dienste wieder erreichbar sind, vergehen 1-2-3 Minuten. Also nicht ungeduldig werden. Zeit um ein Getränk zu holen oder etwas Obst zu essen… 😉 Das Ergebnis kontrolliere ich mit dem SSL Server Test von Qualys.

HTTPS Secure Tunnel

PCoIP Secure Gateway

Blast Secure Gateway

Aktuell kläre ich mit dem VMWare Global Support ab, ob und wie HSTS für Blast aktivieren werden kann.

[18.10.2019, 22:37 Uhr] Inzwischen habe ich den Sachverhalt mit dem VMWare Global Support bzw. Engineering klären können. Nachstehend die Antwort:

HSTS is established per-host (actually per domain name), not per-port. If any webserver on a machine says „do HSTS“ to a client, then that applies to all webserver ports on the system, not just that individual server’s port. So in the usual case, HSTS coverage for the BSG on port 8443 is specified by the Security Server running on port 443.

Unfortunately your setup appears to have constructed a situation where the SS and BSG appear (to the client) to be on different systems (different url). Therefore the client will not apply the SS’s HSTS setting to the BSG (i.e 2nd URL).

Abonnieren
Benachrichtige mich bei
2 Comments
neueste
älteste
Inline Feedbacks
View all comments
Jogy
02.09.2021 13:44

Sehr sehr schön zusammengefasst und auf den Punkt!
Aus den VMware-Artikeln wird man sonst nicht sehr schlau.
Danke vom und ins Schwabenländle

Tom
25.03.2020 10:28

Vielen Dank für den Artikel bzw. der Beschreibung! Hat einwandfrei geklappt.