Horizon 搭配使用的 Unified Access Gateway 符合 NIAP/CSfC,并且验证需要在 Unified Access Gateway 设备中进行实施 NIAP/CSfC 操作所需的具体配置。

配置更改如下所示:

  1. VMware vSphere 7 或更高版本上部署 FIPS 版本的 Unified Access Gateway
  2. 在部署期间配置以下参数。
    注: 只能在部署时配置这些参数。如果在部署期间未配置这些参数, Unified Access Gateway 将包含默认值。
    参数 说明
    Root Password Management Policies
    passwordPolicyMinLen root 密码的最小长度
    passwordPolicyMinClass root 密码的最低复杂性
    rootPasswordExpirationDays 必须强制重置 root 密码之前经过的天数
    passwordPolicyFailedLockout root 用户访问权限被暂时锁定之前的失败登录尝试次数
    passwordPolicyUnlockTime root 用户在暂时锁定后解除锁定之前经过的时长(以秒为单位)
    rootSessionIdleTimeoutSeconds root 用户空闲会话过期之前经过的时长(以秒为单位)
    Admin Password Management Policies
    adminpasswordPolicyMinLen 管理员密码的最小长度
    adminpasswordPolicyFailedLockoutCount 管理员用户访问权限被暂时锁定之前的失败登录尝试次数
    adminpasswordPolicyUnlockTime

    管理员用户在暂时锁定后解除锁定之前经过的时长(以秒为单位)
    adminSessionIdleTimeoutMinutes 管理员用户空闲会话过期之前经过的时长(以秒为单位)
    Other Parameters
    登录横幅文本

    在 SSH 或 Web 控制台登录期间显示的横幅文本
    SecureRandom 源

    该参数必须设置为 /dev/random

    有关这些参数及其值的更多信息,请参阅 VMware Docs《部署和配置 VMware Unified Access Gateway》指南中的运行 PoweShell 脚本以部署 Unified Access Gateway

  3. 为 TLS 证书生成 CSR 并绑定 Unified Access Gateway 管理接口和公用接口的签名证书。有关更多信息,请参阅 VMware Docs《部署和配置 VMware Unified Access Gateway》指南中的使用 uagcertutil 命令生成 CSR 和私钥
    注: 确保证书链中的所有证书都具有 SHA-384 签名。证书和“系统设置”下“TLS 配置”中的任何签名算法不匹配都可能会导致 TLS 握手失败并失去对服务器的访问权限。
  4. 在管理 UI 的“系统配置”部分中配置以下参数。有关这些参数的更多信息,请参阅 VMware Docs《部署和配置 VMware Unified Access Gateway》指南中的配置 Unified Access Gateway 系统设置
    1. TLS 服务器密码套件配置为 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    2. TLS 客户端密码套件配置为 
      TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
    3. SSL 提供程序配置为 JDK
    4. 将“TLS 命名组”配置为 secp256r1,secp384r1,secp521r1,ffdhe2048,ffdhe3072,ffdhe4096,ffdhe6144,ffdhe8192
    5. TLS 签名方案配置为 rsa_pkcs1_sha384
    6. 配置管理员免责声明文本
    7. 打开与主机同步时间切换开关。
    8. 打开扩展服务器证书验证切换开关。
      注: Unified Access Gateway 不支持 CRL 的 LDAP URL,仅支持 http URL。
  5. 使用 TLS 协议配置 Syslog 服务器设置。有关这些设置的更多信息,请参阅 VMware Docs《部署和配置 VMware Unified Access Gateway》指南中的配置 Syslog 服务器设置
    注: Syslog 服务器证书必须将 extendedKeyUsage 标记为 critical extension
      1. 单击选择以上载 Syslog TLS 客户端证书TLS Syslog 客户端证书密钥
      2. 打开 Syslog 包括系统消息切换开关。
      3. 单击添加 Syslog 条目,将新的 Syslog 条目添加到包含以下详细信息的表中。
        1. 类别设置为 All Events
        2. 协议设置为 TLS
        3. 添加 Syslog 服务器主机端口
      4. 单击选择以上载受信任的 CA 证书
      5. 单击添加以保存新条目,然后单击保存以保存 Syslog 设置。
  6. 配置并启用 X509 证书身份验证设置。有关这些设置的更多信息,请参阅 VMware Docs《部署和配置 VMware Unified Access Gateway》指南中的在 Unified Access Gateway 上配置证书身份验证
    1. 打开“身份验证设置”下的 X.509 证书配置。
    2. 打开启用 X.509 证书切换开关。
    3. 单击选择,以 PEM 格式上载客户端的受信任根和中间 CA 证书
    4. 打开启用证书吊销切换开关。
    5. 配置基于 CRL 的证书吊销检查。您可以配置 URL 以获取 CRL,也可以配置为从证书链本身读取详细信息。
    6. 保存 X.509 证书身份验证设置配置。
  7. 生成 SAML 身份提供程序设置并配置 SAML 服务提供程序设置。
    1. 打开 SAML 设置,然后展开 SAML 身份提供程序设置。
    2. 通过上载私钥证书链(使用 RSA+SHA384 算法签名)来生成身份提供程序设置。有关更多信息,请参阅 VMware Docs《部署和配置 VMware Unified Access Gateway》指南中的生成 Unified Access Gateway SAML 元数据
    3. 通过提供 Unified Access Gateway 的外部主机名来下载生成的身份提供程序设置 XML。
    4. 在连接服务器中上载 XML 文件并下载 SAML 元数据 XML。有关更多信息,请参阅 VMware Docs 上的 VMware Horizon 产品文档中的配置 SAML 身份验证以使用 True SSO
    5. 打开 SAML 设置,然后展开 SAML 服务提供程序设置。
    6. 输入服务提供程序名称,然后粘贴 SAML 元数据 XML 内容。有关更多信息,请参阅 VMware Docs《部署和配置 VMware Unified Access Gateway》指南中的将服务提供程序 SAML 元数据复制到 Unified Access Gateway
    7. 保存 SAML 服务提供程序设置。