在双 DMZ 配置中,需要在 UAG 1 和 UAG 2 上安装相同的 SSL 服务器证书。这是因为 Horizon 包含一项安全功能,该功能使用证书指纹计算来降低遭受中间人恶意攻击的风险。
客户端 TLS 连接必须连接到与运行 Horizon Edge 服务的 Unified Access Gateway 设备 (UAG 2) 具有相同证书的服务器。由于要与 UAG 1 建立客户端 TLS 连接,如果提供不同的证书,连接将因证书指纹不匹配而失败。同样,如果在 DMZ 1 中的多个 Unified Access Gateway 设备前面使用负载均衡器,并且该负载均衡器也要终止 TLS(TLS 桥接),则 UAG 2 和负载均衡器上必须存在相同的证书,指纹验证才能成功。