TLS/SSL ist für Clientverbindungen mit Unified Access Gateway-Appliances erforderlich. Clientverbundene Unified Access Gateway-Appliances und Zwischenserver, die TLS/SSL-Verbindungen beenden, benötigen TLS/SSL-Serverzertifikate.
TLS/SSL-Zertifikate werden durch eine Zertifizierungsstelle (CA, Certificate Authority) signiert. Eine Zertifizierungsstelle ist eine vertrauenswürdige Instanz, welche die Identität des Zertifikats und seines Erstellers bestätigt. Wenn ein Zertifikat durch eine vertrauenswürdige Zertifizierungsstelle signiert wurde, werden die Benutzer nicht länger über Meldungen aufgefordert, das Zertifikat zu überprüfen, und Thin Client-Geräte können ohne zusätzliche Konfiguration eine Verbindung herstellen.
Beim Bereitstellen einer Unified Access Gateway-Appliance wird ein standardmäßiges TLS-/SSL-Serverzertifikat erstellt. Für Produktionsumgebungen empfiehlt VMware, das Standardzertifikat so schnell wie möglich zu ersetzen. Das Standardzertifikat ist nicht von einer vertrauenswürdigen Zertifizierungsstelle signiert. Verwenden Sie das Standardzertifikat nur in einer Nicht-Produktionsumgebung.
VMware empfiehlt die Verwendung eines RSA-schlüsselbasierten Zertifikats für den TLS-Server. Das Zertifikat und der private Schlüssel können als PKCS12/PFX-Keystore oder als separater privater Schlüssel und dateien der Zertifikatskette im PEM-Format bereitgestellt werden.
openssl
-Befehl aus:
openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercert.pemUm eine PKCS12/PFX-Datei in eine private Schlüsseldatei im PEM-Format zu konvertieren, führen Sie den folgenden
openssl
-Befehl aus:
openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pemBei der Bereitstellung des Zertifikats und des Schlüssels im PEM-Format muss der private Schlüssel im PKCS1-Format vorliegen. Führen Sie den folgenden
openssl
-Befehl aus, um den privaten Schlüssel von PKCS8 in PKCS1 zu konvertieren, das heißt, vom Format BEGIN PRIVATE KEY in das Format BEGIN RSA PRIVATE KEY:
openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem