可使用配置向导来配置 VMware Tunnel 代理。向导中配置的选项都打包在安装程序中,可从 Workspace ONE UEM 控制台下载此安装程序并将其迁移至 Tunnel 服务器。

在 UEM Console 的组与设置 > 所有设置 > 系统 > 企业集成 > VMware Tunnel > 代理中配置 VMware Tunnel 代理。该向导将逐步指导您完成安装程序配置。向导中配置的选项都打包在安装程序中,可从 Workspace ONE UEM 控制台下载此安装程序并将其迁移至 Tunnel 服务器。更改此向导中的详细信息通常需要重新安装含新配置的 VMware Tunnel

要配置 VMware Tunnel 代理,需要具有计划安装该产品的服务器的详细信息。在配置之前,先确定部署模型、主机名和端口,以及要实施的 VMware Tunnel 的功能。您可以考虑更改访问日志集成、SSL 卸载、企业证书颁发机构集成等。
注: 该向导会根据您的选择动态显示相应的选项,配置屏幕可能会显示不同的文本框和选项。

过程

  1. 导航到组与设置 > 所有设置 > 系统 > 企业集成 > VMware Tunnel > 代理
    • 如果您是首次配置 VMware Tunnel,请选择配置,然后按照配置向导屏幕进行操作。
    • 如果您是首次配置 VMwareTunnel,请选择覆盖,然后选择已启用 VMware Tunnel 切换开关,接着再选择配置
      注: 覆盖 VMware Tunnel 代理设置不会覆盖 VMware Tunnel 配置设置。
  2. 部署类型屏幕上,选择启用代理(Windows 和 Linux)切换开关,然后使用代理配置类型下拉菜单选择要配置的组件。
  3. 在显示的下拉菜单中,选择要配置中继端点部署还是代理配置类型部署。要查看所选类型的示例,请选择信息图标。
  4. 选择下一步
  5. 详细信息屏幕上,配置以下设置。详细信息屏幕上显示的选项取决于您在代理配置类型下拉菜单中选择的配置类型。
    • 对于基本代理配置类型,请输入以下信息:
    设置 说明
    主机名 输入 Tunnel 服务器的公共主机名的 FQDN,例如,tunnel.acmemdm.com。此主机名必须公开可用,因为它将作为设备用于在 Internet 之间进行连接的 DNS。
    中继端口 代理服务安装在此端口上。设备会连接到 <relayhostname>:<port> 以使用 VMware Tunnel 代理功能。默认值为 2020。
    中继主机名 (仅限中继端点部署)。输入 Tunnel 中继服务器的公共主机名的 FQDN,例如,tunnel.acmemdm.com。此主机名必须公开可用,因为它将作为设备用于在 Internet 之间进行连接的 DNS。
    启用 SSL 卸载 如果要使用 SSL 卸载来减轻来自 VMware Tunnel 服务器的加密和解密流量负担,请选中此复选框。
    使用 Kerberos 代理

    要允许访问目标后端 Web 服务的 Kerberos 身份验证,请选择 Kerberos 代理支持。此功能当前不支持 Kerberos 约束委派 (KCD)。有关更多信息,请参阅配置 Kerberos 代理设置

    端点服务器必须与 KDC 位于相同域中,这样 Kerberos 代理才能与 KDC 成功通信。

    • 如果选择中继端点代理配置类型,请输入以下信息:
    设置 说明
    中继主机名 (仅限中继端点部署)。输入 Tunnel 中继服务器的公共主机名的 FQDN,例如,tunnel.acmemdm.com。此主机名必须公开可用,因为它将作为设备用于在 Internet 之间进行连接的 DNS。
    端点主机名

    Tunnel 端点服务器的内部 DNS。该值是中继服务器在中继端点端口上连接到的主机名。如果计划在 SSL 卸载服务器上安装 VMware Tunnel,请在主机名中输入该服务器的名称。

    输入主机名时,请勿包含协议,如 http://、https:// 等。

    中继端口 代理服务安装在此端口上。设备会连接到 <relayhostname>:<port> 以使用 VMware Tunnel 代理功能。默认值为 2020。
    端点端口

    (仅限中继端点部署)。该值是用于在 VMware Tunnel 中继与 VMware Tunnel 端点之间进行通信的端口。默认值为 2010。

    如果使用代理和每应用隧道的组合,则中继端点将作为级联模式前端服务器的一部分进行安装。端口应采用不同的值。

    启用 SSL 卸载 如果要使用 SSL 卸载来减轻来自 VMware Tunnel 服务器的加密和解密流量负担,请选中此复选框。
    使用 Kerberos 代理

    要允许访问目标后端 Web 服务的 Kerberos 身份验证,请选择 Kerberos 代理支持。此功能当前不支持 Kerberos 约束委派 (KCD)。有关更多信息,请参阅配置 Kerberos 代理设置

    端点服务器必须与 KDC 位于相同域中,这样 Kerberos 代理才能与 KDC 成功通信。

    领域文本框中,输入 KDC 服务器的领域。

  6. 选择下一步
  7. SSL 屏幕上,您可配置公共 SSL 证书,以保护从设备上的已启用应用程序到 VMware Tunnel 的客户端-服务器通信。默认情况下,此设置使用 AirWatch 证书来保护服务器-客户端通信。
    1. 如果您希望使用第三方 SSL 证书来加密 Workspace ONE Web 或启用 SDK 的应用程序与 VMware Tunnel 服务器之间的通信,请选择使用公共 SSL 证书选项。
    2. 选择上载以上载 .PFX 或 .P12 证书文件,并输入密码。此文件必须包含公钥和私钥对。不支持 CER 和 CRT 文件。
  8. 选择下一步
  9. 身份验证屏幕上,配置以下设置以选择设备用于在 VMware Tunnel 中进行身份验证的证书。
    默认情况下,所有组件均使用 AirWatch 颁发的证书。要将企业 CA 证书用于客户端-服务器身份验证,请选择 企业 CA 选项。
    1. 选择默认可使用 AirWatch 颁发的证书。默认的 AirWatch 颁发的客户端证书不会自动续订。要续订这些证书,请将 VPN 配置文件重新发布到包含即将过期或已过期客户端证书的设备。通过导航到设备 > 设备详细信息 > 更多 > 证书,可查看设备的证书状态。
    2. 选择企业 CA 代替 AirWatch 颁发的证书,因为 Workspace ONE Web、启用每应用隧道的应用程序或启用 SDK 的应用程序与 VMware Tunnel 之间的身份验证要求先在 Workspace ONE UEM 环境中设置证书颁发机构和证书模板,然后再配置 VMware Tunnel
    3. 选择用于向 CA 请求证书的证书颁发机构证书模板
    4. 选择上载以将证书颁发机构的完整公钥链上载到配置向导。

      CA 模板必须在使用者名称中包含 CN=UDID。受支持的 CA 包括 ADCS、RSA 和 SCEP。

      证书会根据您的 CA 模板设置自动续订。

  10. 单击添加以添加中间证书。
  11. 选择下一步
  12. 其他屏幕上,可以对代理或每应用隧道组件使用访问日志。启用访问日志切换开关可配置该功能。

    如果您打算使用此功能,现在必须在配置过程中对其进行配置,因为稍后只能通过重新配置 Tunnel 并重新运行安装程序来启用该功能。有关这些设置的更多信息,请参阅访问日志和 syslog 集成,以及配置 VMware Tunnel 的高级设置。

    1. Syslog 主机名字段中输入 syslog 主机的 URL。此设置在启用“访问日志”后显示。
    2. UDP 端口字段中输入要用于与 syslog 主机通信的端口。
  13. 选择下一步,查看配置摘要,确认所有主机名、端口和设置正确无误,然后选择保存
    现在,安装程序已经准备就绪,可在 VMware Tunnel 配置屏幕上进行下载。
  14. 配置屏幕上,选择常规选项卡。常规选项卡允许您执行以下操作:
    1. 您可以选择测试连接以验证连接情况。
    2. 您可以选择下载配置 XML 以作为 XML 文件检索现有 VMware Tunnel 实例配置。
    3. 您可以选择下载 Unified Access Gateway 超链接。此按钮会下载非 FIPS OVA 文件。下载的文件还包括 PowerShell 部署方法对应的 PowerShell 脚本和 .ini 模板文件。您必须从“My Workspace ONE”下载 VHDX 或 FIPS OVA。
    4. 要使用传统安装程序方法,可选择下载 Windows 安装程序
      此按钮会下载用于部署 VMware Tunnel 服务器的单个 BIN 文件。确认证书密码后,可从 Workspace ONE UEM 控制台下载安装所需的配置 XML 文件。
  15. 选择保存