Um ein vertrauenswürdiges, von einer Zertifizierungsstelle signiertes TLS-/SSL-Serverzertifikat in der Unified Access Gateway-Appliance zu speichern, müssen Sie das Zertifikat in das korrekte Format konvertieren und mit der Verwaltungsoberfläche oder PowerShell-Skripten konfigurieren.

Warum und wann dieser Vorgang ausgeführt wird

Für Produktionsumgebungen empfiehlt VMware ausdrücklich, das Standardzertifikat so schnell wie möglich zu ersetzen. Das Standard-TLS/SSL-Serverzertifikat, das bei der Bereitstellung einer Unified Access Gateway-Appliance generiert wird, ist nicht von einer vertrauenswürdigen Zertifizierungsstelle signiert.

Wichtig:

Mit dieser Vorgehensweise können Sie auch regelmäßig ein Zertifikat ersetzen, das von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde, bevor das Zertifikat abläuft (meist alle zwei Jahre).

Diese Vorgehensweise beschreibt, wie mit der REST-API das Zertifikat ersetzt wird.

Voraussetzungen

  • Sofern Sie nicht bereits über ein gültiges TLS/SSL-Serverzertifikat und dessen privaten Schlüssel verfügen, verwenden Sie ein neu signiertes Zertifikat der Zertifizierungsstelle. Wenn Sie eine Zertifikatsignieranforderung (CSR, Certificate Signing Request) für ein Zertifikat generieren, müssen Sie sicherstellen, dass auch ein privater Schlüssel generiert wird. Erstellen Sie keine Zertifikate für Server mithilfe eines KeyLength-Wertes unter 1024.

    Um die CSR zu generieren, müssen Sie über den vollqualifizierten Domänennamen (FQDN) verfügen, mit dem Clientgeräte eine Verbindung zur Unified Access Gateway-Appliance und zur organisatorischen Einheit, zur Organisation, zur Stadt, zum Bundesland und zum Land für die Vervollständigung des Antragstellernamens herstellen.

  • Konvertieren Sie das Zertifikat in PEM-Dateien und diese .pem-Dateien dann in ein einzeiliges Format. Siehe Konvertieren von Zertifikatdateien in das einzeilige PEM-Format.

Prozedur

  1. Klicken Sie auf der Verwaltungsoberfläche im Bereich „Manuell konfigurieren“ auf „Auswählen“.
  2. Klicken Sie unter „Erweiterte Einstellungen“ > „Einstellungen für TLS-Serverzertifikat“ auf das Zahnradsymbol.
  3. Klicken Sie für den privaten Schlüssel auf Auswählen und suchen Sie nach der Datei mit dem privaten Schlüssel. Klicken Sie auf Öffnen, um die Datei hochzuladen.
  4. Klicken Sie für die Zertifikatkette auf Auswählen und suchen Sie nach der Zertifikatdatei. Klicken Sie auf Öffnen, um die Datei hochzuladen.
  5. Klicken Sie auf Speichern.

    Wenn das Zertifikat akzeptiert wird, wird eine Erfolgsmeldung angezeigt.

Nächste Maßnahme

Wenn die Zertifizierungsstelle, die das Zertifikat erstellt hat, nicht bekannt ist, konfigurieren Sie Clients so, dass sie dem Stammzertifikat und den Zwischenzertifikaten vertrauen.