Wie behebe ich Zertifikatsfehler beim Verbindungsaufbau in der VMware Horizon Client App?
- Ursachen von Zertifikatsfehlern
- Überprüfung des Zertifikats
- Import des Zertifikats in den vertrauenswürdigen Speicher
- Hostname und Zertifikatsname abstimmen
- Aktualisierung und Einstellungen im Horizon Client
- Zusammenfassung
Ursachen von Zertifikatsfehlern
Zertifikatsfehler treten in VMware Horizon Client häufig auf, wenn das SSL-Zertifikat des Verbindungsservers nicht als vertrauenswürdig eingestuft wird. Dies kann verschiedene Gründe haben, wie zum Beispiel ein selbstsigniertes Zertifikat, ein abgelaufenes Zertifikat, ein falscher Hostname im Zertifikat oder das Fehlen des passenden Stammzertifikats im Zertifikatsspeicher des Clients. Ein weiterer häufiger Grund ist, dass der Horizon Client oder das Betriebssystem nicht über die aktuellen Zertifikatsinformationen verfügt oder dass ein MitM-Angriff die Verbindung beeinträchtigt.
Überprüfung des Zertifikats
Um den Fehler zu beheben, sollte zunächst das verwendete SSL-Zertifikat des Horizon-Verbindungsservers überprüft werden. Dies geschieht idealerweise, indem man sich via Browser direkt auf die URL des Horizon Connection Servers verbindet und das Zertifikat inspiziert. Hier kann man sehen, ob das Zertifikat gültig ist, ob es vom richtigen Aussteller stammt und ob der Hostname im Zertifikat mit der Adresse übereinstimmt, die der Client verwendet. Falls das Zertifikat abgelaufen oder fehlerhaft ist, muss es erneuert oder korrekt ausgestellt werden.
Import des Zertifikats in den vertrauenswürdigen Speicher
Wenn der Verbindungsserver ein selbstsigniertes Zertifikat oder ein internes Zertifikat verwendet, muss dieses Zertifikat manuell in den Zertifikatsspeicher des Clients importiert werden. Unter Windows erfolgt dies über die Zertifikatverwaltung (certmgr.msc), wo das Serverzertifikat in den Bereich Vertrauenswürdige Stammzertifizierungsstellen eingefügt werden muss. Unter macOS lässt sich dies über den Schlüsselbundverwaltung machen. Erst danach erkennt der VMware Horizon Client das Zertifikat als vertrauenswürdig und verhindert die Fehlermeldung.
Hostname und Zertifikatsname abstimmen
Es ist essenziell, dass der Name, mit dem sich der Horizon Client verbindet (z. B. die FQDN-Adresse), mit dem Common Name (CN) oder einem alternativen Subject Alternative Name (SAN) im Zertifikat übereinstimmt. Wenn der Horizon Client beispielsweise die IP-Adresse zur Verbindung nutzt, das Zertifikat aber nur auf den Domainnamen ausgestellt ist, entsteht ebenfalls ein Zertifikatsfehler. Um dies zu beheben, sollte die Verbindungsadresse so gewählt werden, dass sie zum Zertifikat passt, oder das Zertifikat entsprechend angepasst werden.
Aktualisierung und Einstellungen im Horizon Client
Ein veralteter Horizon Client kann Probleme mit dem Umgang von Zertifikaten verursachen. Es empfiehlt sich daher, auf die aktuellste Version der VMware Horizon Client App zu aktualisieren. Unter Umständen erlaubt der Client auch, bestimmte Zertifikatswarnungen zu ignorieren oder Ausnahmen hinzuzufügen. Dies ist allerdings aus Sicherheitsgründen nicht empfohlen, da so die Verbindung anfällig für Angriffe wird. Nur in Testumgebungen kann eine solche Vorgehensweise gerechtfertigt sein.
Zusammenfassung
Die Behebung von Zertifikatsfehlern beim Verbindungsaufbau in der VMware Horizon Client App basiert im Wesentlichen auf der Sicherstellung, dass das verwendete SSL-Zertifikat valide, vertrauenswürdig und korrekt für die genutzte Verbindungsadresse ausgestellt ist. Durch Überprüfung, gegebenenfalls Erneuerung und den Import des Zertifikats in den Client-Zertifikatsspeicher sowie durch die Verwendung korrekter Verbindungsadressen können solche Fehler vermieden werden. Zudem hilft die Nutzung aktueller Client-Software dabei, Kompatibilitätsprobleme mit Zertifikaten zu vermeiden.