TLS/SSL-Zertifikate werden durch eine Zertifizierungsstelle (CA, Certificate Authority) signiert. Eine Zertifizierungsstelle ist eine vertrauenswürdige Instanz, welche die Identität des Zertifikats und seines Erstellers bestätigt. Wenn ein Zertifikat durch eine vertrauenswürdige Zertifizierungsstelle signiert wurde, werden die Benutzer nicht länger über Meldungen aufgefordert, das Zertifikat zu überprüfen, und Thin Client-Geräte können ohne zusätzliche Konfiguration eine Verbindung herstellen.

Beim Bereitstellen einer Unified Access Gateway-Appliance wird ein standardmäßiges TLS-/SSL-Serverzertifikat erstellt. Für Produktionsumgebungen empfiehlt VMware, das Standardzertifikat so schnell wie möglich zu ersetzen. Das Standardzertifikat ist nicht von einer vertrauenswürdigen Zertifizierungsstelle signiert. Verwenden Sie das Standardzertifikat nur in einer Nicht-Produktionsumgebung.

VMware empfiehlt die Verwendung eines RSA-schlüsselbasierten Zertifikats für den TLS-Server. Das Zertifikat und der private Schlüssel können als PKCS12/PFX-Keystore oder als separater privater Schlüssel und dateien der Zertifikatskette im PEM-Format bereitgestellt werden.

openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercert.pem

openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pem

openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem