Você pode utilizar vários tipos de certificados TLS/SSL com o Unified Access Gateway. É crucial selecionar o tipo de certificado correto para a sua implementação. Tipos diferentes de certificado variam em termos de custo, dependendo do número de servidores nos quais podem ser utilizados.
Siga as recomendações de segurança da VMware utilizando nomes de domínio totalmente qualificados (FQDNs) para os certificados, independentemente do tipo selecionado. Não utilize um nome de servidor ou endereço IP simples, mesmo para comunicações dentro de seu domínio interno.
Certificado de nome de servidor único
Você pode gerar um certificado com um nome da entidade para um servidor específico. Por exemplo: dept.exemplo.com.
Este tipo de certificado será útil se, por exemplo, apenas um appliance do Unified Access Gatewayprecisar de um certificado.
Ao enviar uma solicitação de assinatura de certificado, forneça o nome de servidor que estará associado ao certificado. Certifique-se de que o appliance do Unified Access Gateway possa resolver o nome de servidor fornecido para que ele corresponda ao nome associado com o certificado.
Nomes Alternativos da Entidade
Um Nome Alternativo da Entidade (Subject Alternative Name, SAN) é um atributo que pode ser adicionado a um certificado quando ele está sendo emitido. Você utiliza este atributo para adicionar nomes de entidade (URLs) a um certificado para que ele possa validar mais de um servidor
Por exemplo, três certificados podem ser emitidos para os appliances do Unified Access Gatewayque estejam atrás de um balanceador de carga: ap1.exemplo.com, ap2.exemplo.com e ap3.exemplo.com. Ao adicionar um Nome alternativo da entidade que representa o nome de host do balanceador de carga, como horizon.exemplo.com neste exemplo, o certificado é válido, pois será correspondente ao nome de host especificado pelo cliente.
Ao enviar uma solicitação de assinatura de certificado para um Certificado de CA (autoridade de certificação), forneça o endereço IP virtual (VIP) do balanceador de carga da interface externa como o nome em comum e o nome SAN. Certifique-se de que o appliance do Unified Access Gateway possa resolver o nome de servidor fornecido para que ele corresponda ao nome associado com o certificado.
O certificado é usado na porta 443.
Certificado Curinga
Um certificado curinga é gerado para que possa ser utilizado para vários serviços. Por exemplo: *.exemplo.com.
Um curinga será útil se muitos servidores precisarem de um certificado. Se outros aplicativos no ambiente além dos appliances do Unified Access Gatewayprecisarem de certificados TLS/SSL, você também poderá utilizar um certificado curinga para estes servidores. No entanto, se você utilizar um certificado curinga que esteja compartilhado com outros serviços, a segurança do produtoVMware Horizontambém dependerá da segurança destes outros serviços.
Você pode utilizar um certificado curinga somente em um nível único de domínio. Por exemplo, um certificado curinga com o nome de entidade *.exemplo.com pode ser utilizado para o subdomínio dept.exemplo.com mas não para dept.it.exemplo.com.
Os certificados importados para o appliance do Unified Access Gatewaydevem ser confiáveis para as máquinas clientes e também devem ser aplicáveis a todas as instâncias do Unified Access Gatewaye de qualquer balanceador de carga, utilizando curingas ou utilizando certificados de Nome Alternativo de Entidade (SAN).
