您可以从管理配置页面中配置用于加密客户端和 Unified Access Gateway 设备之间的通信的安全协议和加密算法。
前提条件
- 检查 Unified Access Gateway 部署属性。需要使用以下设置信息:
- Unified Access Gateway 设备的静态 IP 地址
- DNS 服务器的 IP 地址
注: 最多可指定两个 DNS 服务器 IP 地址。
仅当没有将任何 DNS 服务器地址作为配置设置的一部分或通过 DHCP 提供给 Unified Access Gateway 时,Unified Access Gateway 才使用平台默认的备用公共 DNS 地址。
- 管理控制台的密码
- Unified Access Gateway 设备指向的服务器实例或负载均衡器的 URL
- 用于保存事件日志文件的 Syslog 服务器 URL
过程
- 在管理 UI 的“手动配置”部分中,单击选择。
- 在“高级设置”部分中,单击系统配置齿轮箱图标。
- 编辑以下 Unified Access Gateway 设备配置值。
选项 默认值和说明 UAG 名称 唯一的 Unified Access Gateway 设备名称。 注: 设备名称可以由长度不超过 24 个字符的文本字符串组成,其中包括字母 (A-Z)、数字 (0-9)、减号(-)和句点(.)。但是,设备名称不能包含空格。区域设置 指定在生成错误消息时使用的区域设置。
- en_US 表示美式英语。这是默认值。
- ja_JP 表示日语
- fr_FR 表示法语
- de_DE 表示德语
- zh_CN 表示简体中文
- zh_TW 表示繁体中文
- ko_KR 表示韩语
- es 表示西班牙语
- pt_BR 表示巴西葡萄牙语
- en_GB 表示英式英语
TLS 服务器密码套件 输入以逗号分隔的密码套件列表,这些是用于加密到 Unified Access Gateway 的入站 TLS 连接的加密算法 此选项与在启用各种安全协议时使用的其他几个选项结合使用,例如,TLS 版本、命名组、签名方案等。
FIPS 模式下支持的 TLS 服务器密码套件如下所示:- 默认启用的密码套件:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- 受支持且可手动配置的密码套件:
TLS_RSA_WITH_AES_256_CBC_SHA256TLS_RSA_WITH_AES_128_CBC_SHA256TLS_RSA_WITH_AES_256_CBC_SHATLS_RSA_WITH_AES_128_CBC_SHA
在非 FIPS 模式下支持的默认 TLS 服务器密码套件如下所示:TLS_AES_128_GCM_SHA256TLS_AES_256_GCM_SHA384TLS_CHACHA20_POLY1305_SHA256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
可通过在 ini 文件中添加 cipherSuites 参数来在 PowerShell 部署期间配置此选项。请参阅运行 PowerShell 脚本以部署 Unified Access Gateway。
TLS 客户端密码套件 输入以逗号分隔的密码套件列表,这些是用于加密到 Unified Access Gateway 的出站 TLS 连接的加密算法 此选项与在启用各种安全协议时使用的其他几个选项结合使用,例如,TLS 版本、命名组、签名方案等。
在 FIPS 模式下,支持以下密码套件:TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256TLS_DHE_RSA_WITH_AES_128_CBC_SHA256TLS_DHE_RSA_WITH_AES_256_CBC_SHA256TLS_DHE_RSA_WITH_AES_256_GCM_SHA384TLS_DHE_RSA_WITH_AES_128_GCM_SHA256TLS_RSA_WITH_AES_256_CBC_SHA256TLS_RSA_WITH_AES_128_CBC_SHA256TLS_RSA_WITH_AES_256_CBC_SHATLS_RSA_WITH_AES_128_CBC_SHA
在非 FIPS 模式下,默认情况下可以使用 SSL 库 (Java/Open SSL) 支持的所有密码套件。
可通过在 ini 文件中添加 outboundCipherSuites 参数来在 PowerShell 部署期间配置此选项。请参阅运行 PowerShell 脚本以部署 Unified Access Gateway。
SSL 提供程序 选择用于处理 TLS 连接的 SSL 提供程序实施。 要配置 TLS Named Groups 和 TLS Signature Schemes,此选项的值必须为
JDK。默认情况下,此选项的值为OPENSSL。注: 当此选项的值为JDK时,不支持基于 OCSP 的证书吊销检查。但是,支持基于 CRL 的证书吊销检查。对此选项进行任何更改都会导致 Unified Access Gateway 服务重新启动。重新启动期间不会保留正在进行的 Unified Access Gateway 会话。
可通过在 ini 文件中添加 sslProvider 参数来在 PowerShell 部署期间配置此选项。请参阅运行 PowerShell 脚本以部署 Unified Access Gateway。
TLS 命名组 允许管理员从在 SSL 握手期间用于密钥交换的受支持命名组列表中配置所需的命名组(椭圆曲线)。 此选项允许使用以逗号分隔的值。受支持的一些命名组如下所示:
secp256r1, secp384r1, secp521r1。要配置此选项,请确保将 SSL Provider 选项设置为
JDK。否则,将禁用 TLS Named Groups 选项。对此选项进行任何更改都会导致 Unified Access Gateway 服务重新启动。重新启动期间不会保留正在进行的 Unified Access Gateway 会话。可通过在 ini 文件中添加 tlsNamedGroups 参数来在 PowerShell 部署期间配置此选项。请参阅运行 PowerShell 脚本以部署 Unified Access Gateway。
TLS 签名方案 允许管理员配置在 SSL 握手期间用于密钥验证的受支持 TLS 签名算法。 此选项允许使用以逗号分隔的值。例如:一些受支持的签名方案如下所示:
rsa_pkcs1_sha、rsa_pkcs1_sha256、rsa_pkcs1_sha384、rsa_pss_rsae_sha256和rsa_pss_rsae_sha384。要配置此选项,请确保将 SSL Provider 选项设置为
JDK。否则,将禁用 TLS Signature Schemes 选项。对此选项进行任何更改都会导致 Unified Access Gateway 服务重新启动。重新启动期间不会保留正在进行的 Unified Access Gateway 会话。可通过在 ini 文件中添加 tlsSignatureSchemes 参数来在 PowerShell 部署期间配置此选项。请参阅运行 PowerShell 脚本以部署 Unified Access Gateway。
启用 TLS 1.0 默认情况下,将关闭此切换开关。 打开此切换开关可启用 TLS 1.0 安全协议。
启用 TLS 1.1 默认情况下,将关闭此切换开关。 打开此切换开关可启用 TLS 1.1 安全协议。
启用 TLS 1.2 默认情况下,将打开此切换开关。 将启用 TLS 1.2 安全协议。
启用 TLS 1.3 默认情况下,将打开此切换开关。 将启用 TLS 1.3 安全协议。
允许的主机标头 可输入 IP 地址或主机名作为主机标头值。此设置适用于使用 Horizon 和 Web 反向代理用例的 Unified Access Gateway 部署。 对于采用 Horizon 的 Unified Access Gateway 部署,您可能需要提供多个主机标头。具体取决于是否使用了 N+1 个虚拟 IP (VIP),以及是否已启用“Blast 安全网关 (BSG)”和 VMware Tunnel 并将其配置为在外部使用端口 443。
Horizon Client 会在主机标头中发送用于 Blast 连接请求的 IP 地址。如果将 BSG 配置为使用端口 443,则允许的主机标头必须包含在特定 UAG 的 Blast 外部 URL 中配置的 BSG 主机名的外部 IP 地址。
如果未指定主机标头值,则默认情况下,将接受客户端发送的任何主机标头值。
CA 证书 添加 Syslog 服务器时,将启用此选项。选择有效的 Syslog 证书颁发机构证书。 运行状况检查 URL 输入负载均衡器连接到的 URL 并检查 Unified Access Gateway 的运行状况。 HTTP 运行状况监控 默认情况下,将关闭此切换开关。默认配置将 HTTP 运行状况检查 URL 请求重定向到 HTTPS。打开此切换开关时,即使在 HTTP 上,Unified Access Gateway 也会响应运行状况检查请求。 要缓存的 Cookie Unified Access Gateway 缓存的一组 Cookie。默认值为“无”。 会话超时 默认值为 36000000 毫秒。 注: Unified Access Gateway 上的 Session Timeout 值必须与 Horizon Connection Server 上的 Forcibly disconnect users 设置值相同。Forcibly disconnect users 设置是 Horizon Console 中的一个常规全局设置。有关此设置的更多信息,请参阅位于 VMware Docs 的《VMware Horizon 管理指南》文档中的“配置客户端会话设置”。
无提示模式 打开此切换开关以暂停 Unified Access Gateway 设备,从而达到一致的状态以执行维护任务 监控时间间隔 默认值为 60。 启用 SAML 证书滚动支持 打开此切换开关可生成实体 ID 基于证书的 SAML SP 元数据。基于证书的实体 ID 支持在 IDP 上使用单独的 SP 配置进行更顺畅的证书滚动。要更改此值,必须重新配置 IDP。 密码期限 具有管理员角色的用户的密码有效天数。 默认值为
90天。可以配置的最大值为999天。要使密码永不过期,请将此字段的值指定为
0。监控用户密码期限 具有监控角色的用户的密码有效天数。 默认值为
90天。可以配置的最大值为999天。要使密码永不过期,请将此字段的值指定为
0。请求超时 指示 Unified Access Gateway 等待接收请求的最长时间。 默认值为
3000。必须以毫秒为单位指定此超时。
正文接收超时 指示 Unified Access Gateway 等待接收请求正文的最长时间。 默认设置为
5000。必须以毫秒为单位指定此超时。
每个会话的最大连接数 每个 TLS 会话允许的最大 TCP 连接数。 默认值为
16。为了不限制允许的 TCP 连接数,请将此字段的值设置为
0。注:8或更低的字段值将导致 Horizon Client 中出现错误。客户端连接空闲超时 指定客户端连接在关闭之前可以保持空闲状态的时间(以秒为单位)。默认值为 360 秒(6 分钟)。零值表示无空闲超时。 身份验证超时 在其后必须进行身份验证的最长等待时间(以毫秒为单位)。默认值为 300000。如果指定了 0,则表示身份验证没有时间限制。
时钟偏差容限 输入 Unified Access Gateway 时钟与相同网络上其他时钟之间允许的时间差(以秒为单位)。默认为 600 秒。 允许的最大系统 CPU 指示一分钟内允许的平均系统 CPU 使用情况上限。 超出已配置的 CPU 限制时,不允许启动新会话,并且客户端会收到 HTTP 503 错误,指示 Unified Access Gateway 设备暂时过载。此外,超出限制还允许负载均衡器将 Unified Access Gateway 设备标记为关闭,以便可以将新请求定向到其他 Unified Access Gateway 设备。
值以百分比为单位。
默认值为
100%。加入 CEIP 如果启用,将向 VMware 发送客户体验改进计划(“CEIP”)信息。有关详细信息,请参阅加入或退出客户体验改进计划。 启用 SNMP 打开此切换开关可启用 SNMP 服务。简单网络管理协议将通过 Unified Access Gateway 收集系统统计信息、内存、磁盘空间使用情况统计信息和 Tunnel Edge 服务 MIB 信息。可用的管理信息库 (Management Information Base, MIB) 列表: - UCD-SNMP-MIB::systemStats
- UCD-SNMP-MIB::memory
- UCD-SNMP-MIB::dskTable
- VMWARE-TUNNEL-SERVER-MIB::vmwTunnelServerMIB
SNMP 版本 选择所需的 SNMP 版本。 注: 如果您已通过 PowerShell 部署 Unified Access Gateway,启用了 SNMP,但未通过 PowerShell 或 Unified Access Gateway 管理 UI 配置 SNMPv3 设置,则默认情况下将使用 SNMPv1 和 SNMPv2c 版本。有关在管理 UI 中配置 SNMPv3 设置的信息,请参阅使用 Unified Access Gateway 管理 UI 配置 SNMPv3。
要通过 PowerShell 部署配置 SNMPv3 设置,必须将特定的 SNMPv3 设置添加到 INI 文件中。请参阅运行 PowerShell 脚本以部署 Unified Access Gateway。
管理员免责声明文本 根据您组织的用户协议策略,输入免责声明文本。 为使管理员成功登录 Unified Access Gateway 管理 UI,管理员必须接受协议策略。
可以通过 PowerShell 部署或使用 Unified Access Gateway 管理 UI 来配置免责声明文本。有关 INI 文件中 PowerShell 设置的更多信息,请参阅运行 PowerShell 脚本以部署 Unified Access Gateway。
在使用 Unified Access Gateway 管理 UI 配置此文本框时,管理员必须先登录到管理 UI,然后再配置免责声明文本。在管理员的后续登录中,系统会显示该文本,管理员需先接受此内容才能访问登录页面。
DNS 输入已添加到 /run/systemd/resolve/resolv.conf 配置文件的域名系统地址。其中必须包含有效的 DNS 搜索地址。单击“+”可添加新的 DNS 地址。 DNS 搜索 输入已添加到 /run/systemd/resolve/resolv.conf 配置文件的域名系统搜索。其中必须包含有效的 DNS 搜索地址。单击“+”可添加新的 DNS 搜索条目。 与主机同步时间 打开此切换开关可将 Unified Access Gateway 设备上的时间与 ESXi 主机的时间同步。 默认情况下,将关闭此切换开关。
此选项使用 VMware Tools 进行时间同步,且仅当 Unified Access Gateway 部署在 ESXi 主机上时才受支持。
如果选择此选项进行时间同步,则会禁用 NTP Servers 和 FallBack NTP Servers 选项。
可通过在 INI 文件中添加 hostClockSyncEnabled 参数来通过 PowerShell 配置此选项。请参阅运行 PowerShell 脚本以部署 Unified Access Gateway。
NTP 服务器 可通过 NTP 服务器实现网络时间协议同步。可输入有效的 IP 地址和主机名。从 systemd-networkd.service 配置或者通过 DHCP 获取的任何每接口 NTP 服务器将优先于这些配置。单击“+”可添加新的 NTP 服务器。 如果选择此选项进行时间同步,则会禁用 Time Sync With Host。
备用 NTP 服务器 可通过备用 NTP 服务器实现网络时间协议同步。如果未找到 NTP 服务器信息,则将使用这些备用 NTP 服务器的主机名或 IP 地址。单击“+”可添加新的备用 NTP 服务器。 如果选择此选项进行时间同步,则会禁用 Time Sync With Host。
扩展服务器证书验证 打开此切换开关可确保 Unified Access Gateway 对收到的 SSL 服务器证书执行扩展验证,以便建立到后端服务器的出站 TLS 连接。 扩展检查包括验证证书过期、主机名不匹配、证书吊销状态和扩展密钥使用值。
默认情况下,将禁用此选项。
可通过在 ini 文件中添加 extendedServerCertValidationEnabled 参数来通过 PowerShell 配置此选项。请参阅运行 PowerShell 脚本以部署 Unified Access Gateway。
SSH 公钥 在使用公钥-私钥对选项时,请上载公钥以允许 root 用户访问 Unified Access Gateway 虚拟机。 管理员可以将多个唯一的公钥上载到 Unified Access Gateway。
仅当在部署过程中将以下 SSH 选项设置为
true时,此字段才会显示在管理 UI 中:启用 SSH 和允许使用密钥对进行 SSH root 登录。有关这些方法的信息,请参阅使用“OVF 模板”向导部署 Unified Access Gateway。 - 单击保存。
下一步做什么
为部署 Unified Access Gateway 时使用的组件配置 Edge 服务设置。在配置 Edge 设置后,请配置身份验证设置。
