您可以将不同类型的 TLS 证书用于 Horizon。为您的部署选择正确的证书类型是至关重要的。不同的证书类型具有不同的成本,具体取决于可以使用它们的服务器数。
请使用证书的完全限定域名 (Fully Qualified Domain Name, FQDN) 以遵循 VMware 安全建议,而无论选择哪种类型。不要使用简单的服务器名称或 IP 地址,即使内部域中的通信也是如此。
单服务器名称证书
您可以为特定服务器生成具有使用者名称的证书。例如:dept.company.com。
比如在只有一个连接服务器实例需要证书的情况下,这种类型的证书将会非常有用。
在将证书签名请求提交到 CA 时,您可以提供与证书关联的服务器名称。请确保 Horizon Server 可以解析提供的服务器名称,以使其与证书的关联名称相匹配。
使用者备用名称
使用者备用名称 (Subject Alternative Name, SAN) 是一个在颁发证书时可添加到证书中的属性。可以使用该属性将使用者名称 (URL) 添加到证书中,以便它可以验证多个服务器。
例如,可为主机名为 dept.company.com 的服务器颁发证书。您打算让通过连接服务器连接到 Horizon 的外部用户来使用该证书。在颁发证书之前,您可以将 SAN dept-int.company.com 添加到证书,以便在启用了安全加密链路的情况下,允许证书在负载均衡器背后的连接服务器实例上使用。
通配证书
可以生成一个通配证书,以便将其用于多个服务。例如:*.company.com。
如果多个服务器需要使用证书,则通配证书是非常有用的。除了 Horizon 以外,如果环境中的其他应用程序需要使用 TLS 证书,您也可以在这些服务器中使用通配证书。不过,如果使用与其他服务共享的通配证书,则 VMware Horizon 产品的安全性还取决于这些其他服务的安全性。