您可以使用此工作流替换在容器上部署的任何一种网关配置中的 SSL 证书。您还可以使用此工作流替换在网关上配置的完全限定域名 (FQDN)(如果需要)。当网关配置中当前设置的 SSL 证书即将过期时,您可能需要更换 SSL 证书。您可以使用 Horizon Cloud 管理控制台 中的“编辑容器”向导执行这些步骤。

重要事项: 如果您在此用例中:

然后,该用例需要遵循一组不同的步骤。如果您的用例涉及 Workspace ONE Access Connector 与您的容器的集成,请不要按照下面的步骤进行操作。您所需执行的步骤与下面的步骤完全不同。有关 Workspace ONE Access Connector 集成及其需求的概览,请参见具有单容器代理的 Horizon Cloud 环境 — 使用相关 Workspace ONE Access 租户信息在 Microsoft Azure 中配置 Horizon Cloud 容器的步骤。此外,如果您的部署过程要将最终用户的客户端和浏览器直接连接到容器管理器设备,这是一种不常见的非典型情况,则请不要按照下面的步骤替换在这些不常见情况中使用的 SSL 证书。有关在 Workspace ONE Access Connector 用例以及不常见非典型场景用例中应用的证书配置的说明,请参阅在 Horizon Cloud 容器的管理器虚拟机上配置 SSL 证书(主要供在单容器代理环境中包含容器的 Workspace ONE Access Connector 使用)概览

在第一次为容器部署容器网关的一段时间后,您可能会发现,您需要替换在容器的网关上配置的 SSL 证书和/或替换在网关上配置的 FQDN。通常,您可以为最终用户提供要在其 Horizon 客户端或浏览器中使用的 FQDN 以访问其容器置备的资源。正如使用浏览器登录到桌面和基于 RDS 的远程应用程序使用 Horizon Client 登录到桌面或基于 RDS 的远程应用程序主题中所述,某些最终用户需要打开浏览器并键入该 FQDN,而其他用户可能需要使用其中一个 Horizon Client。您告知最终用户将其客户端和浏览器指向一个网关,在该网关上所配置的 SSL 证书将会允许这些客户端和浏览器信任与该网关的连接。如部署到 Microsoft Azure 中的 Horizon Cloud 容器中所述,容器可以具有外部或内部 Unified Access Gateway 配置,也可以同时具有这两种配置。在任一种类型的 Unified Gateway 配置中,Unified Access Gateway 实例均需配置有 FQDN 和 SSL 证书信息。

由于各种原因,您可能需要替换在容器的网关上配置的 SSL 证书和 FQDN。其中一个原因可能是在网关上配置的就地 SSL 证书在其证书链中存在到期日期,并且该日历日期和时间即将到期。在这种情况下,您可能希望在该到期日期来临之前替换 SSL 证书,以防止最终用户的客户端或浏览器在尝试连接到网关时出现证书信任问题。更换 SSL 证书的另一个原因是您希望最终用户在其客户端和浏览器中开始使用其他 FQDN。由于 SSL 证书与 FQDN 一起使用,因此当您希望将 FQDN 更改为其他 FQDN 时,通常会将 SSL 证书替换为基于新 FQDN 的证书。

注: 在系统更改配置期间,拥有由容器提供服务的连接会话的最终用户将断开连接这些活动会话。将不会丢失任何数据。在配置更改完成后,这些用户可以重新连接。

前提条件

要完成该工作流,您必须具有:

  • 符合以下条件的替换 SSL 证书。该证书应使用最终用户在其客户端和浏览器中使用的 FQDN,以便连接到容器的网关以访问其已获得授权的资源。
  • 基于该 FQDN 的签名 SSL 服务器证书(采用 PEM 格式)。Unified Access Gateway 功能需要使用 SSL 进行客户端连接,如 Unified Access Gateway 产品文档中所述。此证书必须由受信任的证书颁发机构 (CA) 签名。单个 PEM 文件必须包含整个证书链和私钥。例如,单个 PEM 文件必须包含 SSL 服务器证书、任何必要的中间 CA 证书、根 CA 证书和私钥。OpenSSL 是一种可用来创建 PEM 文件的工具。
    重要事项: 证书链中的所有证书都必须在有效期内。 Unified Access Gateway 虚拟机要求证书链中的所有证书(包括中间证书)都必须在有效期内。如果证书链中有证书已过期,之后将证书上载到 Unified Access Gateway 配置时可能会出现意外故障。
  • 与该 SSL 证书相对应的 FQDN。此 FQDN 是在最终用户的客户端和浏览器中用于连接到容器网关的 FQDN。如果您替换 SSL 证书是为了要避免用户客户端中的到期日期问题,您可以保留已在该网关上配置的相同 FQDN,该 FQDN 将显示在向导中。如果您也将 FQDN 更改为新的 FQDN,则必须具有此容器唯一的 FQDN。您不能重用已为其他容器配置的 FQDN。
    重要事项: 该 FQDN 不能包含下划线。在该版本中,在 FQDN 包含下划线时,到 Unified Access Gateway 实例的连接将失败。

过程

  1. 在控制台中,导航到设置 > 容量,然后单击容器的名称以打开其详细信息页面。
  2. 在容器的详细信息页面中,单击编辑
  3. 在“编辑容器”窗口中,单击下一步以转到网关设置步骤。
  4. 根据要在网关配置中进行的更改,在外部 UAG 部分或内部 UAG 部分中完成相关步骤。
    1. FQDN 值替换为新值。
    2. 通过单击更改来上载新证书,从而替换 SSL 证书。
      上载 PEM 格式的证书, Unified Access Gateway 将使用该证书允许客户端信任与在 Microsoft Azure 中运行的 Unified Access Gateway 实例的连接。证书必须基于指定的 FQDN,并由受信任的 CA 签名。
  5. 单击保存并退出
    将显示一条确认消息,指出更新 FQDN 或证书将断开现有的用户连接,并要求您确认启动工作流。
  6. 单击以启动工作流。
    重要事项: 如果证书链中的任何证书已过期,则 更新状态将显示 更新失败。如果您看到此消息,请检查证书文件并确认所有证书均在有效期限内。

后续步骤

对于更改的任何 Unified Access Gateway 配置,您更改后的 FQDN 与以前的 FQDN 不同,请确保在 DNS 服务器中更新 CNAME 记录,以将配置的负载均衡器的 FQDN 映射到新的 FQDN。有关详细信息,请参阅如何获取要在 DNS 服务器中映射的 Horizon Cloud 容器网关负载均衡器信息