VMWARE Horizon HTML Access 4.6 Installation Manual [fr]
Guide d'installation et de
configuration de VMware
Horizon HTML Access
Modifié pour Horizon 7 7.3.2
VMware Horizon HTML Access 4.6
VMware Horizon 7 7.3
Guide d'installation et de configuration de VMware Horizon HTML Access
Vous trouverez la documentation technique la plus récente sur le site Web de VMware à l'adresse :
https://docs.vmware.com/fr/
N’hésitez pas à nous transmettre tous vos commentaires concernant cette documentation à l’adresse suivante :
docfeedback@vmware.com
VMware, Inc.
3401 Hillview Ave.
Palo Alto, CA 94304
www.vmware.com
VMware, Inc.
100-101 Quartier Boieldieu
92042 Paris La Défense
France
www.vmware.com/fr
Copyright © 2013–2017 VMware, Inc. Tous droits réservés. Copyright et informations sur les marques.
VMware, Inc. 2
Table des matières
Guide d'installation et de configuration de VMware Horizon HTML Access 5
Configuration et installation 6
1
Configuration système requise pour HTML Access 6
Préparer le Serveur de connexion et les serveurs de sécurité pour HTML Access 8
Règles de pare-feu pour HTML Access 10
Configurer View pour supprimer les informations d'identification du cache 11
Préparer des postes de travail, des pools et des batteries de serveurs pour HTML Access 12
Configurer les agents HTML Access pour utiliser les nouveaux certificats SSL 14
Ajouter le composant logiciel enfichable Certificat à MMC sur un poste de travail View 15
Importer un certificat pour l'agent HTML Access dans un magasin de certificats Windows 15
Importer des certificats racine et intermédiaires pour l'agent HTML Access 17
Définir l'empreinte numérique de certificat dans le registre Windows 18
Configurer les agents HTML Access pour utiliser des suites de chiffrement spécifiques 19
Configuration d'iOS pour utiliser des certificats signés par une autorité de certification 20
Mise à niveau du logiciel HTML Access 20
Désinstaller HTML Access de Serveur de connexion View 20
Données collectées par VMware 21
Configuration de HTML Access pour les utilisateurs finaux 23
2
Configurer la page du portail Web de VMware Horizon pour les utilisateurs finaux 23
Utiliser des URI pour configurer des clients Web HTML Access 27
Syntaxe pour la création d'URI pour HTML Access 28
Exemples d'URI 31
Paramètres de stratégie de groupe de HTML Access 33
VMware, Inc.
Utilisation d'une application ou d'un poste de travail distant 34
3
Matrice de prise en charge des fonctions 35
Internationalisation 36
Connexion à une application ou un poste de travail distant 37
Faire confiance à un certificat racine auto-signé 39
Se connecter à un serveur en mode Workspace ONE 40
Utiliser l'accès non authentifié pour se connecter à des applications distantes 40
Combinaisons de touches de raccourci 41
Claviers internationaux 45
Résolution de l'écran 46
Décodage H.264 47
Définition du fuseau horaire 47
3
Guide d'installation et de configuration de VMware Horizon HTML Access
Utilisation de la barre latérale 48
Utiliser plusieurs moniteurs 52
Utilisation de la synchronisation DPI 53
Audio 54
Copier et coller du texte 55
Utiliser la fonctionnalité de copier/coller 55
Transférer des fichiers entre le client et un poste de travail distant 57
Télécharger des fichiers depuis un poste de travail vers le client 58
Charger des fichiers depuis le client vers un poste de travail 58
Utilisation de la fonctionnalité Audio/Vidéo en temps réel pour webcams et microphones 59
Fermer une session ou se déconnecter 60
Réinitialiser un poste de travail distant ou des applications distantes 61
Redémarrer un poste de travail distant 62
VMware, Inc. 4
Guide d'installation et de configuration de
VMware Horizon HTML Access
Ce guide, Guide d'installation et de configuration de VMware Horizon HTML Access, explique comment installer, configurer et utiliser le logiciel VMware Horizon® HTML Access™ pour vous connecter à des postes de travail virtuels sans devoir installer de logiciel sur un système client.
Ce document contient des informations incluant la configuration système et des instructions sur
l'installation du logiciel HTML Access sur un serveur VMware Horizon 7 et sur une machine virtuelle de
poste de travail distant afin que les utilisateurs finaux puissent utiliser un navigateur Web pour accéder à
des postes de travail distants.
Important Ces informations sont destinées aux administrateurs ayant déjà une certaine expérience de
l'utilisation d'Horizon 7 et de VMware vSphere. Si vous découvrez Horizon 7, nous vous recommandons à
l'occasion de suivre les instructions pas à pas pour réaliser les procédures de base dans la
documentation intitulée Installation de View et Administration de View.
VMware, Inc.
5
Configuration et installation 1
La configuration d'un déploiement d'View pour HTML Access comprend l'installation d'HTML Access sur
le Serveur de connexion View, l'ouverture des ports requis et l'installation du composant HTML Access
sur la machine virtuelle du poste de travail distant.
Les utilisateurs finaux peuvent accéder à leurs postes de travail distants en ouvrant un navigateur pris en
charge et en entrant l'URL du Serveur de connexion View.
Ce chapitre aborde les rubriques suivantes :
n
Configuration système requise pour HTML Access
n
Préparer le Serveur de connexion et les serveurs de sécurité pour HTML Access
n
Configurer View pour supprimer les informations d'identification du cache
n
Préparer des postes de travail, des pools et des batteries de serveurs pour HTML Access
n
Configurer les agents HTML Access pour utiliser les nouveaux certificats SSL
n
Configurer les agents HTML Access pour utiliser des suites de chiffrement spécifiques
n
Configuration d'iOS pour utiliser des certificats signés par une autorité de certification
n
Mise à niveau du logiciel HTML Access
n
Désinstaller HTML Access de Serveur de connexion View
n
Données collectées par VMware
Configuration système requise pour HTML Access
Avec HTML Access, le système client ne requiert aucun autre logiciel à part un navigateur pris en charge.
Le déploiement d'View doit respecter certaines exigences logicielles.
Remarque À partir de la version 7.0, View Agent est renommé Horizon Agent.
Navigateurs sur des
systèmes clients
VMware, Inc. 6
Navigateur Version
Chrome 60, 61
Chrome sur périphérique Android 59
Internet Explorer 11
Guide d'installation et de configuration de VMware Horizon HTML Access
Navigateur Version
Safari 9, 10
Safari sur périphérique mobile iOS 9, iOS 10
Firefox 54, 55
Microsoft Edge 40
Remarque Chrome sur un périphérique Android ne prend pas en charge
la touche Windows, plusieurs moniteurs, la fonction copier-coller sur le
système, le transfert de fichiers, l'impression, le décodage H.264, le
nettoyage des informations d'identification et une souris externe. De même,
la touche et les combinaisons de touches suivantes ne fonctionnent pas sur
le clavier logiciel : Suppr, Ctrl+A, Ctrl+C, Ctrl+V, Ctrl+X, Ctrl+Y, Ctrl+Z.
Système d'exploitation
Système d'exploitation Version
client
Windows 7 SP1 (32 et 64 bits)
Windows 8.x (32 et 64 bits)
Windows 10 (32 et 64 bits)
Mac OS X 10.11 (El Capitan)
macOS 10.12.x (Sierra)
iOS 9
iOS 10
Chrome OS 28.x et versions ultérieures
Android 7
Postes de travail
distants
HTML Access requiert Horizon Agent 7.0 ou version ultérieure et prend en
charge tous les systèmes d'exploitation de poste de travail pris en charge
par Horizon 7.0. Pour plus d'informations, consultez la rubrique « Systèmes
d'exploitation pris en charge pour Horizon Agent » dans la version 7.0 ou
ultérieure d'Installation de View.
Paramètres de pool HTML Access nécessite les paramètres de pool suivants dans Horizon
Administrator :
n
Le paramètre Résolution max. d'un écran doit avoir une valeur
supérieure ou égale à 1 920 x 1 200 afin que le poste de travail distant
dispose d'au moins 17,63 Mo de RAM vidéo.
Si vous utilisez des applications 3D ou si des utilisateurs finaux utilisent
un MacBook avec écran Retina ou un Google Chromebook Pixel,
reportez-vous à la section Résolution de l'écran.
n
Le paramètre HTML Access doit être activé.
VMware, Inc. 7
Guide d'installation et de configuration de VMware Horizon HTML Access
Des instructions de configuration sont fournies dans Préparer des postes
de travail, des pools et des batteries de serveurs pour HTML Access.
Serveur de connexion Serveur de connexion avec l'option HTML Access doit être installé sur le
serveur.
Par défaut, lorsque vous installez le composant HTML Access, la règle du
Serveur de connexion VMware Horizon View (Blast-In) est activée sur le
pare-feu Windows, afin que celui-ci soit automatiquement configuré pour
autoriser le trafic entrant sur le port TCP 8443.
Serveur de sécurité La version correspondant à celle du Serveur de connexion doit être
installée sur le serveur de sécurité.
Si les systèmes clients se connectent en dehors du pare-feu d'entreprise,
utilisez un serveur de sécurité. Avec un serveur de sécurité, les systèmes
client ne requièrent pas de connexion VPN.
Remarque Un serveur de sécurité unique peut prendre en charge jusqu'à
800 connexions simultanées à des clients Web.
Pare-feu tiers Ajoutez des règles pour permettre le trafic suivant :
n
Serveurs (y compris les serveurs de sécurité, les instances du Serveur
de connexion et les serveurs de réplica) : trafic entrant sur le port
TCP 8443.
n
Machines virtuelles de postes de travail à distance : trafic entrant (des
serveurs) sur le port TCP 22443.
Protocole d'affichage
d'Horizon
VMware Blast
Lorsque vous utilisez un navigateur Web pour accéder à un poste de travail
distant, le protocole VMware Blast est utilisé plutôt que PCoIP ou Microsoft
RDP. VMware Blast utilise HTTPS (HTTP sur SSL/TLS).
Préparer le Serveur de connexion et les serveurs de sécurité pour HTML Access
Les administrateurs doivent effectuer des tâches spécifiques afin que les utilisateurs finaux puissent se
connecter à des postes de travail distants en utilisant un navigateur Web.
Avant que les utilisateurs finaux puissent se connecter au Serveur de connexion ou à un serveur de
sécurité et accéder à un poste de travail distant, vous devez installer le Serveur de connexion avec le
composant HTML Access et installer les serveurs de sécurité.
Voici la liste de contrôle des tâches à effectuer pour utiliser HTML Access :
1 Installez le Serveur de connexion avec l'option HTML Access sur le ou les serveurs qui composeront
un groupe répliqué de Serveur de connexion.
VMware, Inc. 8
Guide d'installation et de configuration de VMware Horizon HTML Access
Par défaut, le composant HTML Access est déjà sélectionné dans le programme d'installation. Pour
obtenir des instructions d'installation, consultez la documentation Installation de View.
Remarque Pour vérifier si le composant HTML Access est installé, vous pouvez ouvrir l'applet
Désinstaller un programme dans le système d'exploitation Windows et rechercher HTML Access
View dans la liste.
2 Si vous utilisez des serveurs de sécurité, installez le serveur de sécurité.
Pour obtenir des instructions d'installation, consultez la documentation Installation de View.
Important La version du serveur de sécurité doit correspondre à celle du Serveur de connexion.
3 Vérifiez que chaque instance du Serveur de connexion ou du serveur de sécurité possède un
certificat de sécurité qui peut être vérifié en utilisant le nom d'hôte que vous entrez dans le
navigateur.
Pour plus d'informations, reportez-vous à la documentation Installation de View.
4 Pour pouvoir utiliser l'authentification à deux facteurs, telle que l'authentification RSA SecurID ou
RADIUS, assure-vous que cette fonctionnalité est activée sur le Serveur de connexion.
Pour plus d'informations, consultez les rubriques concernant l'authentification à deux facteurs dans la
documentation Administration de View.
Important Si vous activez le paramètre Masquer la liste de domaines dans l'interface utilisateur
client et sélectionnez l'authentification à deux facteurs (RSA SecureID ou RADIUS) pour l'instance
du Serveur de connexion, n'appliquez pas la correspondance des noms d'utilisateur Windows.
L'application de la correspondance des noms d'utilisateur Windows empêchera les utilisateurs
d'entrer des informations sur le domaine dans la zone de texte Nom d'utilisateur et la connexion
échouera toujours. Pour plus d'informations, consultez les rubriques concernant l'authentification à
deux facteurs dans le document Administration de View.
5 Si vous utilisez des pare-feu tiers, ajoutez des règles pour autoriser le trafic entrant sur le port
TCP 8443 pour tous les hôtes des serveurs de sécurité et de Serveur de connexion dans un groupe
répliqué, et ajoutez une règle pour autoriser le trafic entrant (à partir des serveurs View) sur le port
TCP 22443 des postes de travail distants du centre de données. Pour plus d'informations, reportezvous à la section Règles de pare-feu pour HTML Access.
6 Pour permettre aux utilisateurs d'accéder aux applications publiées dans Horizon Client sans avoir à
s'authentifier, vous devez activer cette fonctionnalité dans le Serveur de connexion. Pour plus
d'informations, consultez les rubriques concernant l'accès sans authentification dans le document
Administration de View.
Une fois les serveurs installés, si vous consultez Horizon Administrator, vous constaterez que le
paramètre Blast Secure Gateway est activé sur les instances du Serveur de connexion et les serveurs
de sécurité utilisés. De même, le paramètre URL externe Blast est configuré automatiquement pour
utiliser Blast Secure Gateway dans les instances du Serveur de connexion et des serveurs de sécurité
utilisés. Par défaut, l'URL inclut le nom de domaine complet de l'URL externe du tunnel sécurisé et le
VMware, Inc. 9
Guide d'installation et de configuration de VMware Horizon HTML Access
numéro de port par défaut, 8443. L'URL doit contenir le nom de domaine complet et le numéro de port
qu'un système client peut utiliser pour atteindre l'hôte du Serveur de connexion ou l'hôte du serveur de
sécurité. Pour plus d'informations, consultez « Définir les URL externes d'une instance du Serveur de
connexion » dans la documentation Installation de View.
Remarque Vous pouvez utiliser HTML Access avec VMware Workspace ONE pour permettre aux
utilisateurs de se connecter à leur poste de travail à partir d'un navigateur HTML5. Pour plus
d'informations sur l'installation d'Workspace ONE et sa configuration pour l'utiliser avec le Serveur de
connexion, consultez la documentation de Workspace ONE. Pour plus d'informations sur le couplage du
Serveur de connexion avec un serveur d'authentification SAML, consultez le document Administration de
View.
Règles de pare-feu pour HTML Access
Pour autoriser les navigateurs Web clients à utiliser HTML Access pour effectuer des connexions à des
serveurs de sécurité, à des instances du Serveur de connexion View et à des postes de travail distants,
vos pare-feu doivent autoriser le trafic entrant sur certains ports TCP.
Les connexions HTML Access doivent utiliser HTTPS. Les connexions HTTP ne sont pas autorisées.
Par défaut, lorsque vous installez une instance du Serveur de connexion View ou un serveur de sécurité,
la règle Serveur de connexion VMware Horizon View (Blast-In) est activée sur le pare-feu Windows,
afin que celui-ci soit automatiquement configuré pour autoriser le trafic entrant sur le port TCP 8443.
Tableau 1‑1. Règles de pare-feu pour HTML Access
Port
Source
Navigateur
Web client
Navigateur
Web client
source
par
défaut
Tout port
TCP
Tout port
TCP
Protocol
e Cible
HTTPS Serveur de
sécurité ou
instance de
Serveur de
connexion
View
HTTPS Blast Secure
Gateway
Port cible
par
défaut Remarques
TCP 443 Pour établir une connexion initiale à Horizon, le navigateur
Web d'un périphérique client se connecte à un serveur de
sécurité ou à une instance du Serveur de connexion Horizon
sur le port TCP 443.
TCP 8443 Une fois la première connexion à Horizon établie, le
navigateur Web sur un périphérique client se connecte à
Blast Secure Gateway sur le port TCP 8443. Blast Secure
Gateway doit être activé sur un serveur de sécurité ou une
instance du Serveur de connexion Horizon pour autoriser
cette seconde connexion.
VMware, Inc. 10
Guide d'installation et de configuration de VMware Horizon HTML Access
Tableau 1‑1. Règles de pare-feu pour HTML Access (suite)
Port
Source
source
par
défaut
Protocol
e Cible
Port cible
par
défaut Remarques
Blast Secure
Gateway
Navigateur
Web client
Tout port
TCP
Tout port
TCP
HTTPS Agent
HTML
Access
HTTPS Agent
HTML
Access
TCP
22443
TCP
22443
Si Blast Secure Gateway est activé, lorsqu'un utilisateur
sélectionne un poste de travail distant, Blast Secure Gateway
se connecte à l'agent HTML Access sur le port TCP 22443
sur le poste de travail. Ce composant d'agent est inclus
lorsque vous installez Horizon Agent.
Si Blast Secure Gateway n'est pas activé, lorsqu'un utilisateur
sélectionne un poste de travail View, le navigateur Web du
périphérique client se connecte directement à l'agent
HTML Access sur le port TCP 22443 sur le poste de travail.
Ce composant d'agent est inclus lorsque vous installez
Horizon Agent.
Configurer View pour supprimer les informations
d'identification du cache
Vous pouvez configurer View pour qu'il supprime les informations d'identification d'un utilisateur du cache
lorsque l'utilisateur ferme un onglet qui le connecte à une application ou un poste de travail distant, ou
lorsqu'il ferme un onglet qui le connecte à la page de sélection des postes de travail et applications, dans
le client HTML Access.
Lorsque cette fonctionnalité est désactivée (paramètre par défaut), les informations d'identification restent
dans le cache.
Remarque Lorsque vous activez cette fonctionnalité, les informations d'identification sont également
supprimées du cache lorsqu'un utilisateur actualise la page de sélection des postes de travail et
applications ou la page de session distante, ou lorsqu'il exécute une commande d'URI dans l'onglet qui
contient la session distante. Si le serveur présente un certificat auto-signé, les informations d'identification
sont supprimées du cache après qu'un utilisateur lance une application ou un poste de travail distant et
accepte le certificat lorsque l'avertissement de sécurité s'affiche.
Prérequis
Cette fonctionnalité requiert Horizon 7 version 7.0.2 ou version ultérieure.
Procédure
1 Dans Horizon Administrator, sélectionnez Configuration de View > Paramètres généraux et cliquez
sur Modifier dans le volet Général.
2 Cochez la case Effacer les informations d'identification lorsqu'un onglet est fermé pour HTML
Access.
3 Cliquez sur OK pour enregistrer vos modifications.
Vos modifications prennent effet immédiatement. Vous n'avez pas à redémarrer le Serveur de connexion.
VMware, Inc. 11
Guide d'installation et de configuration de VMware Horizon HTML Access
Préparer des postes de travail, des pools et des batteries de serveurs pour HTML Access
Avant que les utilisateurs finaux puissent accéder à une application ou un poste de travail distant, les
administrateurs doivent configurer certains paramètres de pool et de batterie de serveurs et installer
Horizon Agent sur les machines virtuelles de poste de travail distant et les hôtes RDS dans le centre de
données.
Le client HTML Access représente une bonne alternative lorsque le logiciel Horizon Client n'est pas
installé sur le système client.
Remarque Le logiciel Horizon Client offre plus de fonctionnalités et de meilleures performances que le
client HTML Access. Par exemple, avec le client HTML Access, certaines combinaisons de touches ne
fonctionnent pas sur le poste de travail distant, mais celles-ci fonctionnent avec Horizon Client.
Prérequis
n
Assurez-vous que votre infrastructure vSphere et les composants Horizon respectent la configuration
système requise par HTML Access.
Reportez-vous à la section Configuration système requise pour HTML Access.
n
Assurez-vous que le composant HTML Access est installé sur l'hôte ou les hôtes du Serveur de
connexion, et que les pare-feu Windows sur les instances du Serveur de connexion et les serveurs
de sécurité autorisent le trafic entrant sur le port TCP 8443.
Reportez-vous à la section Préparer le Serveur de connexion et les serveurs de sécurité pour HTML
Access.
n
Si vous utilisez des pare-feu tiers, ajoutez une règle pour autoriser le trafic entrant à partir de
serveurs Horizon sur le port TCP 22443 des postes de travail Horizon dans le centre de données.
n
Vérifiez que la machine virtuelle que vous prévoyez d'utiliser en tant que source de poste de travail
ou hôte RDS dispose des logiciels suivants : un système d'exploitation pris en charge et VMware
Tools.
Pour une liste des systèmes d'exploitation pris en charge, reportez-vous à Configuration système
requise pour HTML Access.
n
Familiarisez-vous avec les procédures de création de pools et de batteries de serveurs et d'octroi de
droits aux utilisateurs. Consultez les rubriques sur la création de pools et de batteries de serveurs
dans Configuration de postes de travail et d'applications dans View.
n
Pour vérifier que l'application ou le poste de travail distant est accessible aux utilisateurs finaux,
vérifiez que le logiciel Horizon Client est installé sur un système client. Vous devez essayer la
connexion en utilisant le logiciel Horizon Client avant d'essayer de vous connecter à partir d'un
navigateur.
VMware, Inc. 12
Guide d'installation et de configuration de VMware Horizon HTML Access
Pour obtenir des instructions sur l'installation d'Horizon Client, reportez-vous au site de
documentation d'Horizon Client à l'adresse
https://www.vmware.com/support/viewclients/doc/viewclients_pubs.html.
n
Assurez-vous que vous disposez de l'un des navigateurs pris en charge pour accéder à un poste de
travail distant. Reportez-vous à la section Configuration système requise pour HTML Access.
Procédure
1 Pour les postes de travail et les applications RDS, utilisez Horizon Administrator pour créer ou
modifier la batterie de serveurs et activez l'option Autoriser l'installation de HTML Access sur les
postes de travail et les applications de cette batterie de serveurs dans les paramètres de la
batterie de serveurs.
2 Pour les pools de postes de travail à session unique, utilisez Horizon Administrator pour créer ou
modifier le pool de postes de travail afin que le pool puisse être utilisé avec HTML Access.
a Activez HTML Access dans les paramètres du pool de postes de travail.
Le paramètre HTML Access n'apparaît pas dans l'assistant Ajouter un pool de postes de travail
lorsque vous créez des pools de postes de travail RDS. Au lieu de cela, vous activez l'option
Autoriser l'installation de HTML Access sur les postes de travail et les applications de
cette batterie de serveurs lors de la création ou la modification de la batterie de serveurs
d'hôtes RDS.
b Dans les paramètres du pool, vérifiez que la Résolution maximale de chaque moniteur est
supérieure ou égale à 1 920x1 200.
3 Une fois les pools créés, recomposés ou mis à niveau pour utiliser Horizon Agent avec l'option HTML
Access, utilisez Horizon Client pour ouvrir une session sur un poste de travail ou une application.
Avant d'utiliser HTML Access, suivez les étapes ci-dessous pour vérifier que le pool fonctionne
correctement.
4 Ouvrez un navigateur compatible et entrez une URL qui pointe vers votre instance du Serveur de
connexion.
Par exemple :
https://horizon.mycompany.com
Veillez à utiliser https dans l'URL.
5 Sur la page Web qui s'affiche, cliquez sur VMware Horizon View HTML Access et connectez-vous
comme vous le feriez avec le logiciel Horizon Client.
6 Sur la page de sélection des postes de travail et applications qui s'affiche, cliquez sur une icône pour
vous connecter.
Vous pouvez à présent accéder à une application ou un poste de travail distant à partir d'un navigateur
Web lorsque vous utilisez un périphérique client dont le système d'exploitation n'a pas ou ne peut pas
prendre en charge le logiciel Horizon Client.
VMware, Inc. 13
Guide d'installation et de configuration de VMware Horizon HTML Access
Suivant
Pour plus de sécurité, si vos stratégies de sécurité nécessitent que l'agent Blast du poste de travail utilise
un certificat SSL d'une autorité de certification, consultez Configurer les agents HTML Access pour
utiliser les nouveaux certificats SSL.
Configurer les agents HTML Access pour utiliser les
nouveaux certificats SSL
Pour respecter les réglementations de sécurité ou du secteur, vous pouvez remplacer les certificats SSL
par défaut générés par l'agent HTML Access par des certificats signés par une autorité de certification.
Lors de l'installation de l'agent HTML Access sur des postes de travail View, le service de l'agent
HTML Access crée des certificats auto-signés par défaut. Le service présente les certificats par défaut
aux navigateurs qui utilisent HTML Access pour se connecter à View.
Remarque Dans le système d'exploitation client sur la machine virtuelle de poste de travail, ce service
s'appelle VMware Blast.
Pour remplacer les certificats par défaut par des certificats signés obtenus auprès d'une autorité de
certification, vous devez importer un certificat dans le magasin de certificats de l'ordinateur local Windows
sur chaque poste de travail View. Vous devez également définir une valeur de registre sur chaque poste
de travail qui autorise l'agent HTML Access à utiliser le nouveau certificat.
Si vous remplacez les certificats par défaut de l'agent HTML Access par des certificats signés par une
autorité de certification, VMware vous recommande de configurer un certificat unique sur chaque poste
de travail. Ne configurez pas de certificat signé par une autorité de certification sur une machine virtuelle
parente ou sur un modèle utilisé pour créer un pool de postes de travail. Cela aurait pour incidence de
voir des centaines ou des milliers de postes de travail avec des certificats identiques.
Procédure
1 Ajouter le composant logiciel enfichable Certificat à MMC sur un poste de travail View
Avant de pouvoir ajouter des certificats au magasin de certificats de l'ordinateur local Windows, vous
devez ajouter le composant logiciel enfichable Certificat à MMC (Microsoft Management Console)
sur les postes de travail View sur lesquels l'agent HTML Access est installé.
2 Importer un certificat pour l'agent HTML Access dans un magasin de certificats Windows
Pour remplacer un certificat par défaut de l'agent HTML Access par un certificat signé par une
autorité de certification, vous devez importer ce dernier dans le magasin de certificats de l'ordinateur
local Windows. Effectuez cette procédure sur chaque poste de travail où l'agent HTML Access est
installé.
3 Importer des certificats racine et intermédiaires pour l'agent HTML Access
Si le certificat racine et les certificats intermédiaires dans la chaîne de certificats ne sont pas
importés avec le certificat SSL importé pour l'agent HTML Access, vous devez importer ces
certificats dans le magasin de certificats de l'ordinateur local Windows.
VMware, Inc. 14
Guide d'installation et de configuration de VMware Horizon HTML Access
4 Définir l'empreinte numérique de certificat dans le registre Windows
Pour permettre à l'agent HTML Access d'utiliser un certificat signé par une autorité de certification
importé dans le magasin de certificats Windows, vous devez configurer l'empreinte numérique de
certificat dans une clé de registre Windows. Vous devez suivre cette étape sur chaque poste de
travail sur lequel vous remplacez le certificat par défaut par un certificat signé par une autorité de
certification.
Ajouter le composant logiciel enfichable Certificat à MMC sur un
poste de travail View
Avant de pouvoir ajouter des certificats au magasin de certificats de l'ordinateur local Windows, vous
devez ajouter le composant logiciel enfichable Certificat à MMC (Microsoft Management Console) sur les
postes de travail View sur lesquels l'agent HTML Access est installé.
Prérequis
Vérifiez que MMC et le composant logiciel enfichable Certificat sont disponibles sur le système
d'exploitation invité Windows sur lequel l'agent HTML Access est installé.
Procédure
1 Sur le poste de travail View, cliquez sur Démarrer et entrez mmc.exe.
2 Dans la fenêtre MMC, accédez à Fichier > Ajouter/Supprimer un composant logiciel enfichable.
3 Dans la fenêtre Ajouter ou supprimer des composants logiciels enfichables, sélectionnez
Certificats et cliquez sur Ajouter.
4 Dans la fenêtre Composant logiciel enfichable Certificats, sélectionnez Compte d'ordinateur,
cliquez sur Suivant, sélectionnez Compte d'ordinateur, puis cliquez sur Terminer.
5 Dans la fenêtre Ajouter ou supprimer des composants logiciels enfichables, cliquez sur OK.
Suivant
Importez le certificat SSL dans le magasin de certificats de l'ordinateur local Windows. Reportez-vous à la section Importer un certificat pour l'agent HTML Access dans un magasin de certificats Windows.
Importer un certificat pour l'agent HTML Access dans un magasin
de certificats Windows
Pour remplacer un certificat par défaut de l'agent HTML Access par un certificat signé par une autorité de
certification, vous devez importer ce dernier dans le magasin de certificats de l'ordinateur local Windows.
Effectuez cette procédure sur chaque poste de travail où l'agent HTML Access est installé.
Prérequis
n
Vérifiez que l'agent HTML Access est installé sur le poste de travail View.
n
Vérifiez que le certificat signé par une autorité de certification a été copié sur le poste de travail.
VMware, Inc. 15
Guide d'installation et de configuration de VMware Horizon HTML Access
n
Vérifiez que le composant logiciel Certificat a été ajouté à MMC. Reportez-vous à la section Ajouter le
composant logiciel enfichable Certificat à MMC sur un poste de travail View.
Procédure
1 Dans la fenêtre MMC sur le poste de travail View, développez le nœud Certificats (Ordinateur
local) et sélectionnez le dossier Personnel.
2 Dans le volet Actions, allez dans Autres actions > Toutes les tâches > Importer.
3 Dans l'assistant Importation de certificat, cliquez sur Suivant et accédez à l'emplacement de
stockage du certificat.
4 Sélectionnez le fichier du certificat et cliquez sur Ouvrir.
Pour afficher votre type de fichier de certificat, vous pouvez sélectionner son format de fichier dans le
menu déroulant Nom de fichier.
5 Tapez le mot de passe de la clé privée incluse dans le fichier de certificat.
6 Sélectionnez Marquer cette clé comme exportable.
7 Sélectionnez Inclure toutes les propriétés extensibles.
8 Cliquez sur Suivant et sur Terminer.
Le nouveau certificat apparaît dans le dossier Certificats (Ordinateur local) > Personnel >
Certificats.
9 Vérifiez que le nouveau certificat contient une clé privée.
a Dans le dossier Certificats (Ordinateur local) > Personnel > Certificats, double-cliquez sur le
nouveau certificat.
b Sous l'onglet Général de la boîte de dialogue Informations sur le certificat, vérifiez que la
déclaration suivante apparaît : Vous avez une clé privée qui correspond à ce
certificat.
Suivant
Si nécessaire, importez le certificat racine et les certificats intermédiaires dans le magasin de certificats
Windows. Reportez-vous à la section Importer des certificats racine et intermédiaires pour l'agent HTML
Access.
Configurez la clé de registre appropriée avec l'empreinte numérique de certificat. Reportez-vous à la
section Définir l'empreinte numérique de certificat dans le registre Windows.
VMware, Inc. 16
Guide d'installation et de configuration de VMware Horizon HTML Access
Importer des certificats racine et intermédiaires pour l'agent
HTML Access
Si le certificat racine et les certificats intermédiaires dans la chaîne de certificats ne sont pas importés
avec le certificat SSL importé pour l'agent HTML Access, vous devez importer ces certificats dans le
magasin de certificats de l'ordinateur local Windows.
Procédure
1 Dans la console MMC sur le poste de travail View, développez le nœud Certificats (Ordinateur
local) et allez dans le dossier Autorités de certification racine de confiance > Certificats.
n
Si votre certificat racine se trouve dans ce dossier, et qu'il n'y a pas de certificat intermédiaire
dans votre chaîne de certificats, ignorez cette procédure.
n
Si votre certificat racine ne se trouve pas dans ce dossier, passez à l'étape 2.
2 Cliquez avec le bouton droit sur le dossier Autorités de certification racine de confiance >
Certificats et cliquez sur Toutes les tâches > Importer.
3 Dans l'assistant Importation de certificat, cliquez sur Suivant et allez à l'emplacement de stockage
du certificat de l'autorité de certification racine.
4 Sélectionnez le fichier du certificat de l'autorité de certification racine et cliquez sur Ouvrir.
5 Cliquez sur Suivant, Suivant et Terminer.
6 Si votre certificat de serveur a été signé par une autorité de certification intermédiaire, importez tous
les certificats intermédiaires se trouvant dans la chaîne de certificats dans le magasin de certificats
de l'ordinateur local Windows.
a Allez dans le dossier Certificats (Ordinateur local) > Autorités de certification intermédiaires
> Certificats.
b Répétez les étapes 3 à 6 pour chaque certificat intermédiaire devant être importé.
Suivant
Configurez la clé de registre appropriée avec l'empreinte numérique de certificat. Reportez-vous à la
section Définir l'empreinte numérique de certificat dans le registre Windows.
VMware, Inc. 17
Guide d'installation et de configuration de VMware Horizon HTML Access
Définir l'empreinte numérique de certificat dans le registre
Windows
Pour permettre à l'agent HTML Access d'utiliser un certificat signé par une autorité de certification importé
dans le magasin de certificats Windows, vous devez configurer l'empreinte numérique de certificat dans
une clé de registre Windows. Vous devez suivre cette étape sur chaque poste de travail sur lequel vous
remplacez le certificat par défaut par un certificat signé par une autorité de certification.
Prérequis
Vérifiez que le certificat signé par une autorité de certification est importé dans le magasin de certificats
Windows. Reportez-vous à la section Importer un certificat pour l'agent HTML Access dans un magasin
de certificats Windows.
Procédure
1 Dans la fenêtre MMC sur le poste de travail View où l'agent HTML Access est installé, accédez au
dossier Certificats (Ordinateur local) > Personnel > Certificats.
2 Double-cliquez sur le certificat signé par une autorité de certification que vous avez importé dans le
magasin de certificats Windows.
3 Dans la boîte de dialogue Certificats, cliquez sur l'onglet Détails, faites défiler la liste et sélectionnez
l'icône Empreinte numérique.
4 Copiez l'empreinte numérique sélectionnée dans un fichier texte.
Par exemple : 31 2a 32 50 1a 0b 34 b1 65 46 13 a8 0a 5e f7 43 6e a9 2c 3e
Remarque Lorsque vous copiez l'empreinte numérique, n'incluez pas l'espace de début. Si vous le
copiez par inadvertance avec l'empreinte numérique dans la clé de registre (à l'étape 7), le certificat
peut ne pas être configuré correctement. Ce problème peut survenir même lorsque l'espace de début
ne s'affiche pas dans la zone de texte de la valeur du registre.
5 Démarrez l'éditeur de Registre Windows sur le poste de travail sur lequel l'agent HTML Access est
installé.
6 Accédez à la clé de registre HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware
Blast\Config.
7 Modifiez la valeur SslHash et collez l'empreinte numérique de certificat dans la zone de texte.
8 Redémarrez Windows.
Lorsqu'un utilisateur se connecte à un poste de travail via HTML Access, l'agent HTML Access présente
le certificat signé par une autorité de certification au navigateur de l'utilisateur.
VMware, Inc. 18
Guide d'installation et de configuration de VMware Horizon HTML Access
Configurer les agents HTML Access pour utiliser des
suites de chirement spécifiques
Vous pouvez configurer l'agent HTML Access pour qu'il utilise des suites de chiffrement spécifiques au
lieu du jeu de chiffrements par défaut.
Par défaut, l'agent HTML Access requiert des connexions SSL entrantes pour utiliser le cryptage basé
sur certains chiffrements qui offrent une protection renforcée contre les écoutes illicites et les
contrefaçons. Vous pouvez configurer une autre liste de chiffrements que peut utiliser l'agent
HTML Access. Le jeu de chiffrements acceptables suit le format OpenSSL. qui est décrit à l'adresse
https://www.openssl.org/docs/manmaster/man1/ciphers.html.
Procédure
1 Démarrez l'éditeur de Registre Windows sur le poste de travail sur lequel l'agent HTML Access est
installé.
2 Accédez à la clé de registre HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware
Blast\Config.
3 Ajoutez une nouvelle valeur de chaîne (REG_SZ), SslCiphers, et collez la liste de chiffrements au
format OpenSSL dans la zone de texte.
4 Redémarrez le service VMware Blast pour que vos modifications prennent effet.
Dans le système d'exploitation client Windows, le service de l'agent HTML Access s'appelle VMware
Blast.
Pour reprendre l'utilisation de la liste de chiffrements par défaut, supprimez la valeur SslCiphers et
redémarrez le service VMware Blast. Ne supprimez pas simplement la partie données de la valeur, car
l'agent HTML Access traitera alors tous les chiffrements comme étant inacceptables, conformément à la
définition de format de la liste de chiffrements OpenSSL.
Lorsque l'agent HTML Access démarre, il écrit la définition de chiffrement dans le fichier journal du
service VMware Blast. Vous pouvez trouver la liste de chiffrements actuels par défaut en examinant les
journaux lorsque le service VMware Blast démarre sans valeur SslCiphers configurée dans le registre
Windows.
La définition de chiffrement par défaut de l'agent HTML Access peut changer d'une version à l'autre pour
améliorer la sécurité.
VMware, Inc. 19
Loading...