Use este fluxo de trabalho para substituir o certificado SSL que está em vigor em qualquer tipo de configuração de gateway implantado no seu pod. Você também pode usar o fluxo de trabalho para substituir o nome de domínio completo (fully-qualified domain name, FQDN) configurado no gateway, se isso for necessário. Um motivo provável para substituir o certificado SSL existente na configuração do gateway é quando ele está próximo da data de expiração. Use o assistente Editar Pod para realizar essas etapas no Console administrativo do Horizon Cloud.

Importante: Se você está neste caso de uso:

Em seguida, há um conjunto diferente de etapas a serem executadas para esse caso de uso. Não siga as etapas abaixo se o seu caso de uso envolver a integração do Workspace ONE Access Connector com seus pods. Essas etapas são completamente diferentes das apresentadas a seguir. Para obter uma visão geral da integração do Workspace ONE Access Connector e das respectivas necessidades, consulte Ambiente do Horizon Cloud com intermediação de pod único — etapas para configurar um pod do Horizon Cloud no Microsoft Azure com as informações relevantes do tenant do Workspace ONE Access. Se o cenário da sua implantação for raro e atípico, em que os clientes e o navegador dos seus usuários finais se conectam diretamente aos dispositivos do gerenciador do pod, não siga as etapas abaixo para substituir o certificado SSL que é usado nesses cenários raros. Para obter uma descrição da configuração do certificado que se aplica ao caso de uso do Workspace ONE Access Connector e ao caso de uso do cenário raro e atípico, leia Visão geral da configuração de certificados SSL nas VMs do gerenciador de pod do Horizon Cloud, principalmente para uso pelo Workspace ONE Access Connector com pods em um ambiente de agente de pod único.

Após um período depois da primeira implantação dos gateways no pod, talvez seja necessário substituir os certificados SSL configurados nos gateways do pod ou substituir o FQDN configurado nos gateways, ou ambos. Normalmente, você concede aos usuários finais um FQDN para usar no Horizon Client ou no navegador deles para acessar os recursos provisionados pelo pod. Conforme descrito nos tópicos Fazer login em áreas de trabalho e aplicativos remotos baseados em RDS usando um navegador e Fazer login em áreas de trabalho ou aplicativos remotos baseados em RDS usando o Horizon Client, alguns usuários finais abrem um navegador e digitam o FQDN, enquanto outros podem usar um dos clientes Horizon Client. O certificado SSL configurado no gateway para o qual você instrui os usuários finais a apontar os clientes e navegadores permite que esses clientes e navegadores confiem nas conexões com esse gateway. Conforme descrito em Pod do Horizon Cloud implantado no Microsoft Azure, o pod pode ter uma configuração externa do Unified Access Gateway, um tipo interno ou ambos. Em ambos os tipos de configuração do Unified Gateway, as instâncias do Unified Access Gateway são definidas com as informações do certificado SSL e de FQDN.

Há vários motivos para querer substituir o certificado SSL e o FQDN configurados nos gateways do pod. Um deles é quando o certificado SSL no local configurado em um gateway tem uma data de expiração em sua cadeia de certificados e essa data e hora do calendário estão próximas. Nessa situação, convém substituir o certificado SSL antes da data de expiração atual para evitar problemas de confiança do certificado nos clientes ou navegadores dos usuários finais quando eles tentarem se conectar ao gateway. Outro motivo para substituir o certificado SSL é quando você deseja que seus usuários finais comecem a usar um FQDN diferente nos clientes e navegadores deles. Como o certificado SSL está associado a um FQDN, quando você deseja trocar o FQDN, normalmente substitui o certificado SSL por um que seja baseado no novo FQDN.

Observação: Durante o tempo em que o sistema está mudando a configuração, os usuários finais que conectaram as sessões atendidas pelo pod terão essas sessões ativas desconectadas. Não ocorrerá nenhuma perda de dados. Depois que as alterações de configuração forem concluídas, esses usuários poderão se reconectar.

Pré-requisitos

Para concluir este fluxo de trabalho:

  • O certificado SSL substituto que atende aos critérios a seguir. Esse certificado deve usar o FQDN que você especificou para seus usuários finais utilizarem nos clientes e navegadores deles para conexão com o gateway do pod e acesso aos recursos autorizados.
  • Um certificado de servidor SSL assinado (no formato PEM) com base no FQDN. Os recursos do Unified Access Gateway exigem SSL para conexões de cliente, conforme descrito na documentação do produto Unified Access Gateway. O certificado deve ser assinado por uma Autoridade de Certificação (CA) confiável. O arquivo PEM único deve conter a cadeia de certificados inteira completa com a chave privada. Por exemplo, o arquivo PEM único deve conter o certificado de servidor SSL, quaisquer certificados de autoridade de certificação intermediários necessários, o certificado da CA raiz e a chave privada. OpenSSL é uma ferramenta que você pode usar para criar o arquivo PEM.
    Importante: Todos os certificados na cadeia de certificados devem ter períodos de tempo válidos. As VMs do Unified Access Gateway exigem que todos os certificados na cadeia, incluindo quaisquer certificados intermediários, tenham períodos de tempo válidos. Se qualquer certificado da cadeia tiver expirado, falhas inesperadas podem ocorrer mais tarde, como o certificado é carregado para a configuração de Unified Access Gateway.
  • O FQDN que corresponde a esse certificado SSL. Trata-se do FQDN que foi usado nos clientes e navegadores dos usuários finais para conexão com o gateway do pod. Se o motivo para substituir o certificado SSL é evitar problemas com a data de expiração nos clientes dos usuários, é provável que você mantenha o mesmo FQDN que já está configurado no gateway, que será exibido no assistente. Se você também está alterando o FQDN para um novo, deve ter um que seja exclusivo para esse pod. Não é possível reutilizar um FQDN que já está configurado para os outros pods.
    Importante: Este FQDN não pode conter sublinhados. Nesta versão, as conexões com as instâncias do Unified Access Gateway falharão quando o FQDN contiver sublinhados.

Procedimento

  1. No console, vá para Configurações > Capacidade e clique no nome do pod para abrir a respectiva página de detalhes.
  2. Na página de detalhes do pod, clique em Editar.
  3. Na janela Editar Pod, clique em Avançar para ir para a etapa Configurações do Gateway.
  4. Dependendo das alterações necessárias na configuração do gateway, conclua a etapa relevante na seção UAG Externo ou UAG Interno.
    1. Substitua o valor do FQDN por um novo.
    2. Substitua o certificado SSL clicando em Alterar para carregar o novo certificado.
      Carregue o certificado no formato PEM que o Unified Access Gateway usará para permitir que os clientes confiem nas conexões com as instâncias do Unified Access Gateway que estão sendo executadas no Microsoft Azure. O certificado deve ser baseado no FQDN inserido e ser assinado por uma CA confiável.
  5. Clique em Salvar e Sair.
    É exibida uma mensagem de confirmação informando que a atualização do FQDN ou do certificado desconecta as conexões de usuário existentes e solicita a confirmação para o início do fluxo de trabalho.
  6. Clique em Sim para iniciar o fluxo de trabalho.
    Importante: Se qualquer um dos certificados na cadeia de certificados tiver expirado, o Status de atualização exibirá Falha na atualização. Se você vir isso, verifique o arquivo de certificado e confirme que todos os certificados têm períodos de tempo válidos.

O que Fazer Depois

Para qualquer configuração do Unified Access Gateway que você alterar, se mudar para um FQDN diferente do anterior, atualize o registro CNAME no seu servidor DNS para mapear o FQDN do balanceador de carga da configuração para o novo FQDN. Consulte Como obter as informações do balanceador de carga do gateway do pod do Horizon Cloud para mapear no servidor DNS para obter mais detalhes.