Configure o Proxy do VMware Tunnel usando o assistente de configuração. As opções configuradas no assistente são empacotadas no instalador, que você pode baixar do console do Workspace ONE UEM e mover para seus servidores do Tunnel.
Configure o Proxy do VMware Tunnel no UEM Console em Grupos e Configurações > Todas as Configurações > Sistema > Integração Empresarial > VMware Tunnel > Proxy. O assistente orienta você pela configuração do instalador passo a passo. As opções configuradas no assistente são empacotadas no instalador, que você pode baixar do console do Workspace ONE UEM e mover para seus servidores do Tunnel. A alteração dos detalhes neste assistente normalmente requer uma reinstalação do VMware Tunnel com a nova configuração.
Procedimento
- Navegue para Grupos e Configurações > Todas as Configurações > Sistema > Integração Empresarial > VMware Tunnel > Proxy.
- Se esta for a primeira vez que você configura o VMware Tunnel, selecione Configurar e siga as telas do assistente de configuração.
- Se esta não for a primeira vez que você configura o VMware Tunnel, selecione Substituir e, em seguida, selecione o botão de alternância Habilitado VMware Tunnel e selecione Configurar.
- Na tela Tipo de Implantação, selecione o botão de alternância Habilitar Proxy (Windows e Linux) e, em seguida, selecione os componentes que você deseja configurar usando o menu suspenso Tipo de Configuração de Proxy.
- Nos menus suspensos exibidos, selecione se você está configurando um Endpoint de Retransmissão ou a implantação de Tipo de Configuração de Proxy. Selecione o ícone de informações para ver um exemplo para o tipo selecionado.
- Selecione Próximo.
- Na tela Detalhes, defina as seguintes configurações. As opções exibidas na tela Detalhes dependem do tipo de configuração selecionado no menu suspenso Tipo de Configuração de Proxy.
- Básica Tipo de Configuração de Proxy, insira as seguintes informações:
Configuração Descrição Nome do host Insira o FQDN do nome do host público para o servidor do Tunnel, por exemplo, tunnel.acmemdm.com. Esse nome do host deve estar publicamente disponível, pois é o DNS ao qual os dispositivos se conectam a partir da Internet. Porta de Retransmissão O serviço de proxy está instalado nesta porta. Os dispositivos se conectam a <nomehostretransmissão>:<porta> para usar o recurso de proxy do VMware Tunnel. O valor padrão é 2020. Nome de Host de Retransmissão (Somente para Endpoint de Retransmissão). Insira o FQDN do nome do host público para o servidor de retransmissão do Tunnel, por exemplo, tunnel.acmemdm.com. Esse nome do host deve estar publicamente disponível, pois é o DNS ao qual os dispositivos se conectam a partir da Internet. Habilitar Descarregamento de SSL Marque esta caixa de seleção se quiser usar o Descarregamento de SSL para aliviar a carga de criptografar e descriptografar o tráfego do servidor do VMware Tunnel. Usar o Proxy Kerberos Habilite o suporte ao proxy Kerberos para permitir o acesso à autenticação Kerberos para seus serviços Web de back-end de destino. Este recurso não é compatível atualmente com a Delegação Restrita de Kerberos (KCD). Para obter mais informações, consulte Configurar as configurações de proxy Kerberos.
O servidor do Endpoint deve estar no mesmo domínio que o KDC para o Proxy Kerberos se comunicar com êxito com o KDC.
- Se você escolher Endpoint de Retransmissão Tipo de Configuração de Proxy, insira as seguintes informações:
Configuração Descrição Nome de Host de Retransmissão (Somente para Endpoint de Retransmissão). Insira o FQDN do nome do host público para o servidor de retransmissão do Tunnel, por exemplo, tunnel.acmemdm.com. Esse nome do host deve estar publicamente disponível, pois é o DNS ao qual os dispositivos se conectam a partir da Internet. Nome de Host de Endpoint O DNS interno do servidor de endpoint do Tunnel. Esse valor é o nome do host ao qual o servidor de retransmissão se conecta na porta do endpoint de retransmissão. Se você planeja instalar o VMware Tunnel em um servidor de descarregamento de SSL, insira o nome desse servidor no lugar do Nome de Host.
Quando você inserir o Nome de Host, não inclua um protocolo, como http://, https://, etc.
Porta de Retransmissão O serviço de proxy está instalado nesta porta. Os dispositivos se conectam a <nomehostretransmissão>:<porta> para usar o recurso de proxy do VMware Tunnel. O valor padrão é 2020. Porta do Endpoint (Somente para Endpoint de Retransmissão). Este valor é a porta usada para comunicação entre a retransmissão do VMware Tunnel e o endpoint do VMware Tunnel. O valor padrão é 2010.
Se você estiver usando uma combinação de Proxy e Per-App Tunnel, o endpoint de retransmissão será instalado como parte do Servidor Front-End para o modo Cascata. As portas devem ter valores diferentes.
Habilitar Descarregamento de SSL Marque esta caixa de seleção se quiser usar o Descarregamento de SSL para aliviar a carga de criptografar e descriptografar o tráfego do servidor do VMware Tunnel. Usar o Proxy Kerberos Habilite o suporte ao proxy Kerberos para permitir o acesso à autenticação Kerberos para seus serviços Web de back-end de destino. Este recurso não é compatível atualmente com a Delegação Restrita de Kerberos (KCD). Para obter mais informações, consulte Configurar as configurações de proxy Kerberos.
O servidor do Endpoint deve estar no mesmo domínio que o KDC para o Proxy Kerberos se comunicar com êxito com o KDC.
No campo Território, insira o Território do servidor KDC.
- Selecione Próximo.
- Na tela SSL, você pode configurar um certificado SSL Público que protege a comunicação do cliente/servidor do aplicativo habilitado em um dispositivo para o VMware Tunnel. Por padrão, essa configuração usa um certificado da AirWatch para a comunicação segura entre servidor e cliente.
- Selecione a opção Usar Certificado SSL Público se você preferir usar um certificado SSL de terceiros para a criptografia entre o Workspace ONE Web ou os aplicativos habilitados para SDK e o servidor do VMware Tunnel.
- Selecione Carregar para carregar um arquivo de certificado .PFX ou .P12 e insira a senha. Esse arquivo deve conter o par de chaves pública e privada. Não há suporte para os arquivos CER e CRT.
- Selecione Próximo.
- Na tela Autenticação, defina as seguintes configurações para selecionar os certificados que os dispositivos usam para se autenticar no VMware Tunnel.
Por padrão, todos os componentes usam certificados emitidos pela AirWatch. Para usar certificados de Autoridade de Certificação Empresarial para a autenticação de cliente/servidor, selecione a opção Autoridade de Certificação Empresarial.
- Selecione Padrão para usar os certificados emitidos pela AirWatch. O certificado de cliente padrão emitido pela AirWatch não é renovado automaticamente. Para renovar esses certificados, publique novamente o perfil de VPN em dispositivos que tenham um certificado de cliente expirado ou que expira em breve. Exiba o status do certificado de um dispositivo navegando para Dispositivos > Detalhes do Dispositivo > Mais > Certificados.
- Selecione Autoridade de Certificação Empresarial no lugar dos certificados emitidos pela AirWatch para autenticação entre o Workspace ONE Web, os aplicativos habilitados para Per-App Tunnel ou os aplicativos habilitados para SDK, e o VMware Tunnel exige que uma autoridade de certificação e um modelo de certificado estejam configurados no seu ambiente do Workspace ONE UEM antes de configurar o VMware Tunnel.
- Selecione a Autoridade de Certificação e o Modelo de Certificado que são usados para solicitar um certificado da autoridade de certificação.
- Selecione Carregar para carregar a cadeia completa da chave pública da sua autoridade de certificação para o assistente de configuração.
O modelo da autoridade de certificação deve conter CN=UDID no nome da entidade. As autoridades de certificação com suporte são ADCS, RSA e SCEP.
Os certificados são renovados automaticamente com base nas suas configurações de modelo de autoridade de certificação.
- Clique em Adicionar para adicionar um Certificado Intermediário.
- Selecione Próximo.
- Na tela Diversos, você pode habilitar os logs de acesso para os componentes do proxy ou Per-App Tunnel. Habilite o botão de alternância Logs de Acesso para configurar o recurso.
Se você pretender usar esse recurso, deverá defini-lo agora como parte da configuração, pois ele não poderá ser habilitado mais tarde sem a reconfiguração do Tunnel e uma nova execução do instalador. Para obter mais informações sobre essas configurações, consulte #GUID-AWT-ACCESSLOGS e Definir as configurações avançadas para o VMware Tunnel.
- Insira a URL do host syslog no campo Nome do Host Syslog. Essa configuração é exibida após a ativação dos Logs de Acesso.
- Insira a porta pela qual você deseja se comunicar com o host syslog no campo Porta UDP.
- Selecione Próximo, revise o resumo da sua configuração, confirme se todos os nomes de host, portas e configurações estão corretos e selecione Salvar.
O instalador agora está pronto para download na tela VMware Tunnel Configuração.
- Na tela Configuração, selecione a guia Geral. A guia Geral permite que você faça o seguinte:
- Você pode selecionar Testar a Conexão para verificar a conectividade.
- Você pode selecionar Baixar XML de Configuração para obter a configuração existente da instância do VMware Tunnel como um arquivo XML.
- Você pode selecionar o hiperlink Baixar o Unified Access Gateway. Este botão baixa o arquivo OVA não FIPS. O arquivo de download também inclui o script do PowerShell e o arquivo de modelo .ini para o método de implantação do PowerShell. Você deve baixar o VHDX ou o OVA do FIPS em My Workspace ONE.
- Para métodos do instalador legados, você pode selecionar Baixar o Windows Installer.
Este botão baixa um único arquivo BIN usado para implantar o servidor VMware Tunnel. O arquivo XML de Configuração necessário para a instalação pode ser baixado do console do Workspace ONE UEM após a confirmação da senha do certificado.
- Selecione Salvar.