如果将 TLS 连接负载分流到中间服务器,您必须将中间服务器的证书导入到连接服务器实例或连接到中间服务器的安全服务器中。同一个 TLS 服务器证书必须同时位于正在进行负载分流的中间服务器和连接到中间服务器并且已被负载分流的 Horizon 7 Server 中。
如果您部署安全服务器,则中间服务器和连接到该中间服务器的安全服务器必须拥有相同的 TLS 证书。您不必在已与安全服务器配对但未直接连接到中间服务器的连接服务器实例上安装相同的 TLS 证书。
如果您未部署安全服务器,或者如果您的混合网络环境包含一些安全服务器和一些面向外部的连接服务器实例,则中间服务器和连接到该中间服务器的任何连接服务器实例都必须拥有相同的 TLS 证书。
如果中间服务器的证书未安装在连接服务器实例或安全服务器上,则客户端无法验证其与 Horizon 7 的连接。在这种情况下,Horizon 7 server 发送的证书指纹与 Horizon Client 连接的中间服务器上的证书不一致。
不要混淆负载平衡与 TLS 负载分流。前者适用于任何被配置为提供 TLS 负载分流功能的设备,包括某些类型的负载平衡程序。但是,单纯的负载平衡不要求在设备之间复制证书。
重要事项: 以下主题中介绍的方案展示了在第三方组件与 VMware 组件之间共享 TLS 证书的一种方法。此方法可能并非适合所有人,这也不是执行该任务的唯一方法。