您必须为 Unified Access Gateway 设备配置 TLS/SSL 证书。到 Unified Access Gateway 设备的客户端连接需要使用 TLS/SSL。终止 TLS/SSL 连接的面向客户端的 Unified Access Gateway 设备和中间服务器需要使用 TLS/SSL 服务器证书。
TLS/SSL 服务器证书是由证书颁发机构 (Certificate Authority, CA) 签名的。CA 是确保证书及其创建者身份的受信机构。如果证书是由受信任的 CA 签发,则系统不会向用户显示要求验证证书的消息,且瘦客户端设备可以在无需额外配置的情况下进行连接。
注: 为
Unified Access Gateway 设备配置 TLS/SSL 证书仅适用于
Horizon 和 Web 反向代理。
在部署 Unified Access Gateway 设备时,将生成一个默认 TLS/SSL 服务器证书。对于生产环境,VMware 建议您尽快更换默认证书。默认证书不是由受信任的 CA 签名的。仅在非生产环境中使用默认证书。
VMware 建议对 TLS 服务器使用基于 RSA 密钥的证书。证书和私钥可以作为 PKCS12/PFX 密钥库提供,也可以作为 PEM 格式的单独私钥和证书链文件提供。
要将 PKCS12/PFX 转换为 PEM 格式的证书链文件,请运行以下
openssl 命令:
openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercert.pem要将 PKCS12/PFX 转换为 PEM 格式的私钥文件,请运行以下
openssl 命令:
openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pem以 PEM 格式提供证书和密钥时,私钥必须采用 PKCS1 格式。要将私钥从 PKCS8 转换为 PKCS1(从 BEGIN PRIVATE KEY 格式转换为 BEGIN RSA PRIVATE KEY 格式),请运行以下
openssl 命令:
openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem
管理 UI 中的 TLS 服务器证书设置
- 在 UAG 管理控制台的手动配置部分中,单击选择。
- 在部分中,选择 TLS 服务器证书设置齿轮箱图标。
将显示管理员证书和 Internet 证书详细信息。
- 单击齿轮箱图标以修改证书。
- 选择要应用证书的接口(管理员、Internet 或两者)。
- 对于“证书类型”,选择 PEM 或 PFX
对于 PEM,选择私钥和证书链。
对于 PFX,选择要上载的 PFX 证书,然后输入 PFX 密码和别名。
- 单击保存。
