您可以从管理配置页面中配置用于加密客户端和 Unified Access Gateway 设备之间的通信的安全协议和加密算法。

前提条件

  • 检查 Unified Access Gateway 部署属性。需要使用以下设置信息:
    • Unified Access Gateway 设备的静态 IP 地址
    • DNS 服务器的 IP 地址
      注: 最多可指定两个 DNS 服务器 IP 地址。

      仅当没有将任何 DNS 服务器地址作为配置设置的一部分或通过 DHCP 提供给 Unified Access Gateway 时,Unified Access Gateway 才使用平台默认的备用公共 DNS 地址。

    • 管理控制台的密码
    • Unified Access Gateway 设备指向的服务器实例或负载均衡器的 URL
    • 用于保存事件日志文件的 Syslog 服务器 URL

过程

  1. 在管理 UI 的“手动配置”部分中,单击选择
  2. 在“高级设置”部分中,单击系统配置齿轮箱图标。
  3. 编辑以下 Unified Access Gateway 设备配置值。
    选项 默认值和说明
    UAG 名称 唯一的 Unified Access Gateway 设备名称。
    注: 设备名称可以由长度不超过 24 个字符的文本字符串组成,其中包括字母 (A-Z)、数字 (0-9)、减号 (-) 和句点 (.)。但是,设备名称不能包含空格。
    区域设置

    指定在生成错误消息时使用的区域设置。

    • en_US 表示美式英语。这是默认值。
    • ja_JP 表示日语
    • fr_FR 表示法语
    • de_DE 表示德语
    • zh_CN 表示简体中文
    • zh_TW 表示繁体中文
    • ko_KR 表示韩语
    • es 表示西班牙语
    • pt_BR 表示巴西葡萄牙语
    • en_GB 表示英式英语
    TLS 服务器密码套件 输入以逗号分隔的密码套件列表,这些是用于加密到 Unified Access Gateway 的入站 TLS 连接的加密算法

    此选项与在启用各种安全协议时使用的其他几个选项结合使用,例如,TLS 版本、命名组、签名方案等。

    FIPS 模式下支持的 TLS 服务器密码套件如下所示:
    • 默认启用的密码套件:
      • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
      • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    • 受支持且可手动配置的密码套件:
      • TLS_RSA_WITH_AES_256_CBC_SHA256
      • TLS_RSA_WITH_AES_128_CBC_SHA256
      • TLS_RSA_WITH_AES_256_CBC_SHA
      • TLS_RSA_WITH_AES_128_CBC_SHA
    在非 FIPS 模式下支持的默认 TLS 服务器密码套件如下所示:
    • TLS_AES_128_GCM_SHA256
    • TLS_AES_256_GCM_SHA384
    • TLS_CHACHA20_POLY1305_SHA256
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    可通过在 ini 文件中添加 cipherSuites 参数来在 PowerShell 部署期间配置此选项。请参阅运行 PowerShell 脚本以部署

    TLS 客户端密码套件 输入以逗号分隔的密码套件列表,这些是用于加密到 Unified Access Gateway 的出站 TLS 连接的加密算法

    此选项与在启用各种安全协议时使用的其他几个选项结合使用,例如,TLS 版本、命名组、签名方案等。

    在 FIPS 模式下,支持以下密码套件:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
    • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
    • TLS_RSA_WITH_AES_256_CBC_SHA256
    • TLS_RSA_WITH_AES_128_CBC_SHA256
    • TLS_RSA_WITH_AES_256_CBC_SHA
    • TLS_RSA_WITH_AES_128_CBC_SHA

    在非 FIPS 模式下,默认情况下可以使用 SSL 库 (Java/Open SSL) 支持的所有密码套件。

    可通过在 ini 文件中添加 outboundCipherSuites 参数来在 PowerShell 部署期间配置此选项。请参阅运行 PowerShell 脚本以部署

    最小 SHA 哈希大小 为通信期间的 Horizon 协议和所有非 Horizon 连接以及证书指纹规范选择最小 SHA 哈希大小。

    默认为 SHA-256。支持的 SHA 哈希大小值包括:SHA-1、SHA-256、SHA-384 和 SHA-512。不建议使用 SHA-1。

    启用 TLS 1.1 默认情况下,将关闭此切换开关。

    打开此切换开关可启用 TLS 1.1 安全协议。

    启用 TLS 1.2 默认情况下,将打开此切换开关。

    将启用 TLS 1.2 安全协议。

    启用 TLS 1.2 和 TLS 1.3(仅非 FIPS) 默认情况下,将打开此切换开关。

    将启用 TLS 1.2 和 TLS 1.3 安全协议。

    SSL 提供程序 选择用于处理 TLS 连接的 SSL 提供程序实施。

    要配置 TLS Named GroupsTLS Signature Schemes,此选项的值必须为 JDK。默认情况下,此选项的值为 OPENSSL

    注: 当此选项的值为 JDK 时,不支持基于 OCSP 的证书吊销检查。但是,支持基于 CRL 的证书吊销检查。

    对此选项进行任何更改都会导致 Unified Access Gateway 服务重新启动。重新启动期间不会保留正在进行的 Unified Access Gateway 会话。

    可通过在 ini 文件中添加 sslProvider 参数来在 PowerShell 部署期间配置此选项。请参阅运行 PowerShell 脚本以部署

    TLS 命名组 允许管理员从在 SSL 握手期间用于密钥交换的受支持命名组列表中配置所需的命名组(椭圆曲线)。

    此选项允许使用以逗号分隔的值。受支持的一些命名组如下所示:secp256r1, secp384r1, secp521r1

    要配置此选项,请确保将 SSL Provider 选项设置为 JDK。否则,将禁用 TLS Named Groups 选项。对此选项进行任何更改都会导致 Unified Access Gateway 服务重新启动。重新启动期间不会保留正在进行的 Unified Access Gateway 会话。

    可通过在 ini 文件中添加 tlsNamedGroups 参数来在 PowerShell 部署期间配置此选项。请参阅运行 PowerShell 脚本以部署

    TLS 签名方案 允许管理员配置在 SSL 握手期间用于密钥验证的受支持 TLS 签名算法。

    此选项允许使用以逗号分隔的值。例如:一些受支持的签名方案如下所示:rsa_pkcs1_sharsa_pkcs1_sha256rsa_pkcs1_sha384rsa_pss_rsae_sha256rsa_pss_rsae_sha384

    要配置此选项,请确保将 SSL Provider 选项设置为 JDK。否则,将禁用 TLS Signature Schemes 选项。对此选项进行任何更改都会导致 Unified Access Gateway 服务重新启动。重新启动期间不会保留正在进行的 Unified Access Gateway 会话。

    可通过在 ini 文件中添加 tlsSignatureSchemes 参数来在 PowerShell 部署期间配置此选项。请参阅运行 PowerShell 脚本以部署

    允许的主机标头 输入可作为主机标头值的 IP 地址和/或主机名。此设置适用于 Unified Access Gateway 上的 Horizon、Web 反向代理用例及管理服务。默认情况下,将根据在此字段中配置的值,以及基于 UAG 的网络设置和 Edge 服务设置动态计算的自动允许列表启用主机(或 X-Forwarded-Host)标头验证。

    用于直接、通过负载均衡器或反向代理访问 Unified Access Gateway,且未包含在自动允许列表中的任何主机名都应在此字段中配置。

    对于采用 Horizon 的 Unified Access Gateway,如果启用了 Blast 安全网关 (Blast Secure Gateway, BSG) 和/或 VMware Tunnel,并配置了外部 URL,则这些值将自动包含在允许的主机值列表中。不需要明确配置这些值。

    对于具有 Web 反向代理配置的 Unified Access Gateway 部署,外部 URL 和代理主机模式包含在自动允许的主机值列表中。

    使用 N+1 虚拟 IP (Virtual IP, VIP) 部署 Unified Access Gateway 时,该虚拟 IP 将包含在自动允许列表中。此外,UAG 的非环回 IP 地址和内部主机名也包含在该列表中,默认情况下允许这些地址和主机名。

    CA 证书 添加 Syslog 服务器时,将启用此选项。选择有效的 Syslog 证书颁发机构证书。
    运行状况检查 URL 输入负载均衡器连接到的 URL 并检查 Unified Access Gateway 的运行状况。
    HTTP 运行状况监控 默认情况下,将关闭此切换开关。默认配置将 HTTP 运行状况检查 URL 请求重定向到 HTTPS。打开此切换开关时,即使在 HTTP 上,Unified Access Gateway 也会响应运行状况检查请求。
    要缓存的 Cookie Unified Access Gateway 缓存的一组 Cookie。默认值为“无”。
    会话超时 默认值为 36000000 毫秒。
    注: Unified Access Gateway 上的 Session Timeout 值必须与 Horizon Connection Server 上的 Forcibly disconnect users 设置值相同。

    Forcibly disconnect users 设置是 Horizon Console 中的一个常规全局设置。有关此设置的更多信息,请参阅位于 VMware Docs《VMware Horizon 管理指南》文档中的“配置客户端会话设置”

    无提示模式 打开此切换开关以暂停 Unified Access Gateway 设备,从而达到一致的状态以执行维护任务
    监控时间间隔 默认值为 60
    启用 SAML 证书滚动支持 打开此切换开关可生成实体 ID 基于证书的 SAML SP 元数据。基于证书的实体 ID 支持在 IDP 上使用单独的 SP 配置进行更顺畅的证书滚动。要更改此值,必须重新配置 IDP。
    密码期限 具有管理员角色的用户的密码有效天数。

    默认值为 90 天。可以配置的最大值为 999 天。

    要使密码永不过期,请将此字段的值指定为 0

    监控用户密码期限 具有监控角色的用户的密码有效天数。

    默认值为 90 天。可以配置的最大值为 999 天。

    要使密码永不过期,请将此字段的值指定为 0

    请求超时 指示 Unified Access Gateway 等待接收请求的最长时间。

    默认值为 3000

    必须以毫秒为单位指定此超时。

    正文接收超时 指示 Unified Access Gateway 等待接收请求正文的最长时间。

    默认设置为 5000

    必须以毫秒为单位指定此超时。

    每个会话的最大连接数 每个 TLS 会话允许的最大 TCP 连接数。

    默认值为 16

    为了不限制允许的 TCP 连接数,请将此字段的值设置为 0

    注: 8 或更低的字段值将导致 Horizon Client 中出现错误。
    客户端连接空闲超时 指定客户端连接在关闭之前可以保持空闲状态的时间(以秒为单位)。默认值为 360 秒(6 分钟)。零值表示无空闲超时。
    身份验证超时

    在其后必须进行身份验证的最长等待时间(以毫秒为单位)。默认值为 300000。如果指定了 0,则表示身份验证没有时间限制。

    时钟偏差容限 输入 Unified Access Gateway 时钟与相同网络上其他时钟之间允许的时间差(以秒为单位)。默认为 600 秒。
    允许的最大系统 CPU 指示一分钟内允许的平均系统 CPU 使用情况上限。

    超出已配置的 CPU 限制时,不允许启动新会话,并且客户端会收到 HTTP 503 错误,指示 Unified Access Gateway 设备暂时过载。此外,超出限制还允许负载均衡器将 Unified Access Gateway 设备标记为关闭,以便可以将新请求定向到其他 Unified Access Gateway 设备。

    值以百分比为单位。

    默认值为 100%

    加入 CEIP 如果启用,将向 VMware 发送客户体验提升计划(“CEIP”)信息。
    启用 SNMP 打开此切换开关可启用 SNMP 服务。简单网络管理协议将通过 Unified Access Gateway 收集系统统计信息、内存、磁盘空间使用情况统计信息和 Tunnel Edge 服务 MIB 信息。可用的管理信息库 (Management Information Base, MIB) 列表:
    • UCD-SNMP-MIB::systemStats
    • UCD-SNMP-MIB::memory
    • UCD-SNMP-MIB::dskTable
    • VMWARE-TUNNEL-SERVER-MIB::vmwTunnelServerMIB
    SNMP 版本 选择所需的 SNMP 版本。

    如果选择 SNMPv1+v2 作为 SNMP 协议,则可以添加自定义 SNMP 社区名称。

    注: 必须在配置 Tunnel 之前启用 SNMP。如果在配置 Tunnel 之后启用 SNMP,则必须重新保存 Tunnel 设置,以使 SNMP 设置生效。

    如果您已通过 PowerShell 部署 Unified Access Gateway,启用了 SNMP,但未通过 PowerShell 或 Unified Access Gateway 管理 UI 配置 SNMPv3 设置,则默认情况下将使用 SNMPv1+SNMPV2c 版本。

    以下是在管理 UI 中配置 SNMPv3 设置的其他步骤:
    1. 输入 SNMPv3 USM 用户名称。
    2. 输入 SNMP 引擎 ID

      此值对于每个 Unified Access Gateway 设备都是唯一的。

      引擎 ID 的最大长度限制为 27 个字符。

    3. 选择 SNMPv3 安全级别
    4. 根据在上一步中选择的安全级别,执行以下操作:
    安全级别 操作
    No Auth, No Priv

    (不进行身份验证,也不加密)

    单击保存

    无需执行任何其他操作。

    Auth, No Priv

    (进行身份验证,但不加密)

    1. 选择 SNMPv3 身份验证算法
    2. 输入 SNMPv3 身份验证密码

      密码长度必须至少为 8 个字符。

    3. 确认在上一步中输入的身份验证密码
    4. 单击保存
    Auth, Priv

    (同时进行身份验证和加密)

    1. 选择 SNMPv3 身份验证算法

      支持的值如下:MD5 (Not Recommended)SHA (Not Recommended)SHA-224SHA-256SHA-384SHA-512

    2. 输入 SNMPv3 身份验证密码

      密码长度必须至少为 8 个字符。

    3. 确认在上一步中输入的身份验证密码
    4. 选择 SNMPv3 加密算法

      支持的值为 DESAES

    5. 选择 SNMPv3 加密密码

      密码长度必须至少为 8 个字符。

    6. 确认在上一步中输入的加密密码
    7. 单击保存
    SNMP 社区属性 输入要使用的自定义 SNMP 社区名称。如果将此字段留空,则使用“公共”。
    管理员免责声明文本 根据您组织的用户协议策略,输入免责声明文本。

    为使管理员成功登录 Unified Access Gateway 管理 UI,管理员必须接受协议策略。

    可以通过 PowerShell 部署或使用 Unified Access Gateway 管理 UI 来配置免责声明文本。有关 INI 文件中 PowerShell 设置的更多信息,请参阅运行 PowerShell 脚本以部署

    在使用 Unified Access Gateway 管理 UI 配置此文本框时,管理员必须先登录到管理 UI,然后再配置免责声明文本。在管理员的后续登录中,系统会显示该文本,管理员需先接受此内容才能访问登录页面。

    DNS 输入已添加到 /run/systemd/resolve/resolv.conf 配置文件的域名系统地址。其中必须包含有效的 DNS 搜索地址。单击“+”可添加新的 DNS 地址。
    DNS 搜索 输入已添加到 /run/systemd/resolve/resolv.conf 配置文件的域名系统搜索。其中必须包含有效的 DNS 搜索地址。单击“+”可添加新的 DNS 搜索条目。
    与主机同步时间 打开此切换开关可将 Unified Access Gateway 设备上的时间与 ESXi 主机的时间同步。

    默认情况下,将关闭此切换开关。

    此选项使用 VMware Tools 进行时间同步,且仅当 Unified Access Gateway 部署在 ESXi 主机上时才受支持。

    如果选择此选项进行时间同步,则会禁用 NTP ServersFallBack NTP Servers 选项。

    可通过在 INI 文件中添加 hostClockSyncEnabled 参数来通过 PowerShell 配置此选项。请参阅运行 PowerShell 脚本以部署

    NTP 服务器 可通过 NTP 服务器实现网络时间协议同步。可输入有效的 IP 地址和主机名。从 systemd-networkd.service 配置或者通过 DHCP 获取的任何每接口 NTP 服务器将优先于这些配置。单击“+”可添加新的 NTP 服务器。

    如果选择此选项进行时间同步,则会禁用 Time Sync With Host

    备用 NTP 服务器 可通过备用 NTP 服务器实现网络时间协议同步。如果未找到 NTP 服务器信息,则将使用这些备用 NTP 服务器的主机名或 IP 地址。单击“+”可添加新的备用 NTP 服务器。

    如果选择此选项进行时间同步,则会禁用 Time Sync With Host

    扩展服务器证书验证 打开此切换开关可确保 Unified Access Gateway 对收到的 SSL 服务器证书执行扩展验证,以便建立到后端服务器的出站 TLS 连接。

    扩展检查包括验证证书过期、主机名不匹配、证书吊销状态和扩展密钥使用值。

    默认情况下,将禁用此选项。

    可通过在 ini 文件中添加 extendedServerCertValidationEnabled 参数来通过 PowerShell 配置此选项。请参阅运行 PowerShell 脚本以部署

    SSH 公钥 在使用公钥-私钥对选项时,请上载公钥以允许 root 用户访问 Unified Access Gateway 虚拟机。

    管理员可以将多个唯一的公钥上载到 Unified Access Gateway

    仅当在部署过程中将以下 SSH 选项设置为 true 时,此字段才会显示在管理 UI 中:启用 SSH允许使用密钥对进行 SSH root 登录。有关这些方法的信息,请参阅使用 OVF 模板向导部署到 vSphere

  4. 单击保存

下一步做什么

为部署 Unified Access Gateway 时使用的组件配置 Edge 服务设置。在配置 Edge 设置后,请配置身份验证设置。