您可以将不同类型的 TLS/SSL 证书与 Unified Access Gateway 一起使用。为您的部署选择正确的证书类型是至关重要的。不同的证书类型具有不同的成本,具体取决于可以使用它们的服务器数。
请使用证书的完全限定域名 (Fully Qualified Domain Name, FQDN) 以遵循 VMware 安全建议,而无论选择哪种类型。不要使用简单的服务器名称或 IP 地址,即使内部域中的通信也是如此。
单服务器名称证书
您可以为特定服务器生成具有使用者名称的证书。例如:dept.example.com。
如果仅一个 Unified Access Gateway 设备需要证书,这种类型的证书是非常有用的。
在将证书签名请求提交到 CA 时,您可以提供要与证书关联的服务器名称。请确保 Unified Access Gateway 设备可以解析提供的服务器名称,以使其与证书的关联名称相匹配。
使用者备用名称
使用者备用名称 (Subject Alternative Name, SAN) 是一个在颁发证书时可添加到证书中的属性。可以使用该属性将使用者名称 (URL) 添加到证书中,以便它可以验证多个服务器。
例如,可以为负载平衡器后面的 Unified Access Gateway 设备颁发三个证书:ap1.example.com、ap2.example.com 和 ap3.example.com。通过添加表示负载平衡器主机名的主体备用名称(如此示例中的 horizon.example.com),该证书将变为有效证书,因为它与客户端指定的主机名相匹配。
在将证书签名请求提交到 CA 后,您可以提供外部接口负载平衡器虚拟 IP 地址 (virtual IP address, VIP) 来作为公用名称和 SAN 名称。请确保 Unified Access Gateway 设备可以解析提供的服务器名称,以使其与证书的关联名称相匹配。
此证书在端口 443 上使用。
通配证书
可以生成一个通配证书,以便将其用于多个服务。例如,*.example.com。
如果多个服务器需要使用证书,则通配证书是非常有用的。除了 Unified Access Gateway 设备以外,如果环境中的其他应用程序需要使用 TLS/SSL 证书,您也可以在这些服务器中使用通配证书。不过,如果使用与其他服务共享的通配证书,则 VMware Horizon 产品的安全性还取决于这些其他服务的安全性。
您只能在单个域级别使用通配证书。例如,可以将具有使用者名称 *.example.com 的通配证书用于 dept.example.com,但不能用于 dept.it.example.com。
客户端计算机必须信任导入到 Unified Access Gateway 设备的证书,并且这些证书还必须适用于所有 Unified Access Gateway 实例和任何负载平衡器(通过使用通配证书或使用者备用名称 (Subject Alternative Name, SAN) 证书)。