Sie können für Access Point verschiedene Typen von TLS/SSL-Zertifikaten verwenden. Die Auswahl des korrekten Zertifikattyps ist entscheidend für Ihre Bereitstellung. Die Kosten der verschiedenen Zertifikattypen sind unterschiedlich, je nach der Anzahl der Server, auf denen diese verwendet werden können.

Folgen Sie den VMware-Sicherheitsempfehlungen und verwenden Sie vollqualifizierte Domänennamen (FQDN) für Ihre Zertifikate, unabhängig vom ausgewählten Typ. Verwenden Sie selbst für die Kommunikation innerhalb Ihrer internen Domäne keinen einfachen Servernamen bzw. keine einfache IP-Adresse.

Namenszertifikat für Einzelserver

Sie können ein Zertifikat mit einem Antragstellernamen für einen bestimmten Server generieren. Beispiel: dept.example.com.

Dieser Zertifikattyp ist beispielsweise hilfreich, wenn nur eine Access Point-Appliance ein Zertifikat benötigt.

Wenn Sie eine Zertifikatsignieranforderung an eine Zertifizierungsstelle übermitteln, geben Sie den Servernamen an, der mit dem Zertifikat verknüpft ist. Stellen Sie sicher, dass die Access Point-Appliance den bereitgestellten Servernamen auflösen kann und dieser mit dem Namen identisch ist, der dem Zertifikat zugeordnet wurde.

Alternative Antragstellernamen

Ein alternativer Antragstellername (Subject Alternative Name, SAN) ist ein Attribut, das einem Zertifikat bei der Ausstellung hinzugefügt werden kann. Mit diesem Attribut können Sie einem Zertifikat Antragstellernamen (URLs) hinzufügen, damit es mehr als einen Server validieren kann.

Beispielsweise lassen sich für die Access Point-Appliances hinter einem Lastausgleichsdienst drei Zertifikate ausstellen: ap1.example.com, ap2.example.com und ap3.example.com. Durch Hinzufügen eines alternativen Antragstellernamens, der für den Hostnamen des Lastausgleichsdienstes steht (z. B. horizon.example.com in diesem Beispiel) wird das Zertifikat gültig, da es dem durch den Client angegebenen Hostnamen entspricht.

Platzhalterzertifikat

Ein Platzhalterzertifikat wird für Verwendung für mehrere Dienste generiert. Beispiel: *.example.com.

Ein Platzhalterzertifikat ist sinnvoll, wenn für viele Server ein Zertifikat nötig ist. Wenn andere Anwendungen in Ihrer Umgebung zusätzlich zu den Access Point-Appliances TLS/SSL-Zertifikate benötigen, können Sie ein Platzhalterzertifikat auch für diese Server verwenden. Wenn Sie allerdings ein Platzhalterzertifikat benutzen, das mit anderen Diensten gemeinsam verwendet wird, richtet sich die Sicherheit des VMware Horizon-Produkts auch nach der Sicherheit der anderen Dienste.

Anmerkung:

Ein Platzhalterzertifikat lässt sich nur auf einer Ebene einer Domäne verwenden. Beispielsweise kann ein Platzhalterzertifikat mit dem Antragstellernamen *.example.com für die Unterdomäne dept.example.com, aber nicht für dept.it.example.com eingesetzt werden.

In die Access Point-Appliance importierte Zertifikate müssen von den Clientcomputern als vertrauenswürdig eingestuft werden und für alle Instanzen von Access Point sowie für jeden Lastausgleichsdienst verwendet werden können, entweder durch Verwendung von Platzhaltern oder von SAN-Zertifikaten (Alternativer Antragstellername).