O TLS/SSL é necessário para conexões de clientes aos appliances do Unified Access Gateway. Appliances do Unified Access Gatewaye servidores intermediários voltados para o cliente que terminam conexões TLS/SSL necessitam de certificados de servidor TLS/SSL.
Certificados de servidor TLS/SSL são assinados por uma Autoridade de Certificação (CA). Uma CA é uma entidade confiável que garante a identidade do certificado e de seu criador. Quando um certificado é assinado por uma CA confiável, os usuários passam a não receber mensagens pedindo a verificação do certificado e os dispositivos cliente leves podem se conectar sem necessitar de configurações adicionais.
Um certificado de servidor TLS/SSL padrão é gerado ao implantar um appliance do Unified Access Gateway. Para ambientes de produção, a VMware recomenda a substituição do certificado padrão o mais rápido possível. O certificado padrão não é assinado por uma CA confiável. Use o certificado padrão somente em um ambiente que não seja de produção.
A VMware recomenda o uso de um certificado baseado em chave RSA para o servidor TLS. O certificado e a chave privada podem ser fornecidos como armazenamento de chaves PKCS12/PFX ou como uma chave privada e arquivos de cadeia de certificados separados no formato PEM.
openssl
:
openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercert.pemPara converter um arquivo PKCS12/PFX em chave privada no formato PEM, execute o seguinte comando
openssl
:
openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pemAo fornecer o certificado e a chave no formato PEM; a chave privada deve estar no formato PKCS1. Para converter a chave privada de PKCS8 em PKCS1 (do formato INICIAR CHAVE PRIVADA no formato INICIAR CHAVE PRIVADA RSA), execute o seguinte comando
openssl
:
openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem