Auf den Verwaltungsseiten können Sie konfigurieren, welche Sicherheitsprotokolle und kryptographischen Algorithmen zur Verschlüsselung der Kommunikation zwischen Clients und der Unified Access Gateway-Appliance verwendet werden.

Voraussetzungen

  • Überprüfen Sie die Unified Access Gateway-Bereitstellungseigenschaften. Die folgenden Informationen sind erforderlich:
    • Statische IP-Adresse für die Unified Access Gateway-Appliance
    • IP-Adressen der DNS-Server
      Hinweis: Maximal zwei IP-Adressen können für den DNS-Server angegeben werden.

      Unified Access Gateway verwendet nur dann die öffentlichen DNS-Standardadressen für einen Fallback der Plattform, wenn Unified Access Gateway keine DNS-Serveradressen entweder als Teil der Konfigurationseinstellungen oder über DHCP bereitgestellt werden.

    • Kennwort für die Verwaltungskonsole
    • URL der Serverinstanz des Load Balancers, auf den die Unified Access Gateway-Appliance verweist
    • Syslog-Server-URL für das Speichern der Ereignisprotokolldateien

Prozedur

  1. Klicken Sie auf der Verwaltungsoberfläche im Bereich „Manuell konfigurieren“ auf Auswählen.
  2. Klicken Sie im Bereich „Erweiterte Einstellungen“ auf das Zahnradsymbol für die Systemkonfiguration.
  3. Bearbeiten Sie die folgenden Konfigurationswerte für die Unified Access Gateway-Appliance.
    Option Standardwert und Beschreibung
    UAG-Name Der eindeutige Unified Access Gateway-Appliance-Name.
    Hinweis: Der Appliance-Name kann aus einer Textzeichenfolge von bis zu 24 Zeichen bestehen, die Buchstaben (A-Z), Ziffern (0-9), Minuszeichen (-) und Punkte (.) enthalten. Der Appliance-Name darf jedoch keine Leerzeichen enthalten.
    Gebietsschema

    Legt das Gebietsschema für die Ausgabe von Fehlermeldungen fest.

    • en_US für amerikanisches Englisch. Hierbei handelt es sich um die Standardeinstellung.
    • ja_JP für Japanisch
    • fr_FR für Französisch
    • de_DE für Deutsch
    • zh_CN für Vereinfachtes Chinesisch
    • zh_TW für Traditionelles Chinesisch
    • ko_KR für Koreanisch
    • es für Spanisch
    • pt_BR für brasilianisches Portugiesisch
    • en_GB für britisches Englisch
    TLS-Serververschlüsselungs-Suites Geben Sie eine kommagetrennte Liste von Verschlüsselungs-Suites ein, bei denen es sich um kryptografische Algorithmen handelt, die zum Verschlüsseln von eingehenden TLS-Verbindungen mit Unified Access Gateway verwendet werden.

    Diese Option wird mit einigen anderen Optionen wie TLS-Versionen, benannten Gruppen, Signaturschemata usw. verwendet, die beim Aktivieren verschiedener Sicherheitsprotokolle verwendet werden.

    Die im FIPS-Modus unterstützten TLS-Serververschlüsselungs-Suites lauten wie folgt:
    • Standardmäßig aktivierte Verschlüsselungs-Suites:
      • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
      • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    • Verschlüsselungs-Suites, die unterstützt werden und manuell konfiguriert werden können:
      • TLS_RSA_WITH_AES_256_CBC_SHA256
      • TLS_RSA_WITH_AES_128_CBC_SHA256
      • TLS_RSA_WITH_AES_256_CBC_SHA
      • TLS_RSA_WITH_AES_128_CBC_SHA
    Die standardmäßigen TLS-Serververschlüsselungs-Suites, die im Nicht-FIPS-Modus unterstützt werden, lauten wie folgt:
    • TLS_AES_128_GCM_SHA256
    • TLS_AES_256_GCM_SHA384
    • TLS_CHACHA20_POLY1305_SHA256
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Diese Option kann während der PowerShell-Bereitstellung durch Hinzufügen des Parameters cipherSuites in der ini-Datei konfiguriert werden. Siehe Ausführen eines PowerShell-Skripts zur Bereitstellung von Unified Access Gateway.

    TLS-Clientverschlüsselungs-Suites Geben Sie eine kommagetrennte Liste von Verschlüsselungs-Suites ein, bei denen es sich um kryptografische Algorithmen handelt, die zum Verschlüsseln ausgehender TLS-Verbindungen mit Unified Access Gateway verwendet werden.

    Diese Option wird mit einigen anderen Optionen wie TLS-Versionen, benannten Gruppen, Signaturschemata usw. verwendet, die beim Aktivieren verschiedener Sicherheitsprotokolle verwendet werden.

    Die folgenden Verschlüsselungs-Suites werden im FIPS-Modus unterstützt:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
    • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
    • TLS_RSA_WITH_AES_256_CBC_SHA256
    • TLS_RSA_WITH_AES_128_CBC_SHA256
    • TLS_RSA_WITH_AES_256_CBC_SHA
    • TLS_RSA_WITH_AES_128_CBC_SHA

    Im Nicht-FIPS-Modus können standardmäßig alle Verschlüsselungs-Suites verwendet werden, die von der SSL-Bibliothek (Java/Open SSL) unterstützt werden.

    Diese Option kann während der PowerShell-Bereitstellung durch Hinzufügen des Parameters outboundCipherSuites in der ini-Datei konfiguriert werden. Siehe Ausführen eines PowerShell-Skripts zur Bereitstellung von Unified Access Gateway.

    SSL-Anbieter Wählen Sie die SSL-Anbieterimplementierung aus, die für die Verarbeitung von TLS-Verbindungen verwendet wird.

    Um TLS Named Groups und TLS Signature Schemes zu konfigurieren, muss der Wert dieser Option JDK lauten. Standardmäßig ist der Wert dieser Option auf OPENSSL festgelegt.

    Hinweis: Wenn der Wert dieser Option JDK lautet, wird die OCSP-basierte Zertifikatswiderrufprüfung nicht unterstützt. Allerdings wird die CRL-basierte Zertifikatswiderrufprüfung unterstützt.

    Alle Änderungen an dieser Option führen dazu, dass Unified Access Gateway-Dienste neu gestartet werden. Laufende Unified Access Gateway-Sitzungen werden während des Neustarts nicht beibehalten.

    Diese Option kann während der PowerShell-Bereitstellung durch Hinzufügen des Parameters sslProvider in der ini-Datei konfiguriert werden. Siehe Ausführen eines PowerShell-Skripts zur Bereitstellung von Unified Access Gateway.

    Benannte TLS-Gruppen Ermöglicht es dem Administrator, die gewünschten benannten Gruppen (elliptische Kurven) aus einer Liste unterstützter benannter Gruppen zu konfigurieren, die für den Schlüsselaustausch während des SSL-Handshakes verwendet werden.

    Diese Option ermöglicht kommagetrennte Werte. Einige der unterstützten benannten Gruppen lauten wie folgt: secp256r1, secp384r1, secp521r1.

    Um diese Option zu konfigurieren, stellen Sie sicher, dass die Option SSL Provider auf JDK festgelegt ist. Andernfalls ist die Option TLS Named Groups deaktiviert. Alle Änderungen an dieser Option führen dazu, dass Unified Access Gateway-Dienste neu gestartet werden. Laufende Unified Access Gateway-Sitzungen werden während des Neustarts nicht beibehalten.

    Diese Option kann während der PowerShell-Bereitstellung durch Hinzufügen des Parameters tlsNamedGroups in der ini-Datei konfiguriert werden. Siehe Ausführen eines PowerShell-Skripts zur Bereitstellung von Unified Access Gateway.

    TLS-Signaturschemata Ermöglicht dem Administrator, die unterstützten TLS-Signaturalgorithmen zu konfigurieren, die für die Schlüsselvalidierung während des SSL-Handshakes verwendet werden.

    Diese Option ermöglicht kommagetrennte Werte. Beispiel: Einige der unterstützten Signaturschemata lauten wie folgt: rsa_pkcs1_sha, rsa_pkcs1_sha256, rsa_pkcs1_sha384, rsa_pss_rsae_sha256 und rsa_pss_rsae_sha384.

    Um diese Option zu konfigurieren, stellen Sie sicher, dass die Option SSL Provider auf JDK festgelegt ist. Andernfalls ist die Option TLS Signature Schemes deaktiviert. Alle Änderungen an dieser Option führen dazu, dass Unified Access Gateway-Dienste neu gestartet werden. Laufende Unified Access Gateway-Sitzungen werden während des Neustarts nicht beibehalten.

    Diese Option kann während der PowerShell-Bereitstellung durch Hinzufügen des Parameters tlsSignatureSchemes in der ini-Datei konfiguriert werden. Siehe Ausführen eines PowerShell-Skripts zur Bereitstellung von Unified Access Gateway.

    TLS 1.0 aktivieren Diese Umschaltoption ist standardmäßig deaktiviert.

    Aktivieren Sie diese Umschaltoption, um das TLS 1.0-Sicherheitsprotokoll zu aktivieren.

    TLS 1.1 aktivieren Diese Umschaltoption ist standardmäßig deaktiviert.

    Aktivieren Sie diese Umschaltoption, um das TLS 1.1-Sicherheitsprotokoll zu aktivieren.

    TLS 1.2 aktivieren Standardmäßig ist diese Umschaltoption aktiviert.

    Das Sicherheitsprotokoll TLS 1.2 ist aktiviert.

    TLS 1.3 aktivieren Standardmäßig ist diese Umschaltoption aktiviert.

    Das Sicherheitsprotokoll TLS 1.3 ist aktiviert.

    Zulässige Host-Header Geben Sie die IP-Adresse oder den Hostnamen als Host-Kopfzeilenwerte ein. Diese Einstellung gilt für die Unified Access Gateway-Bereitstellung mit den Horizon- und Web Reverse Proxy-Anwendungsfällen.

    Für Unified Access Gateway-Bereitstellungen mit Horizon müssen Sie möglicherweise mehrere Host-Kopfzeilen angeben. Dies hängt davon ab, ob die virtuelle N+1-IP (VIP) verwendet wird und ob Blast Secure Gateway (BSG) und VMware Tunnel aktiviert und für die externe Verwendung von Port 443 konfiguriert sind.

    Die Horizon-Clients senden die IP-Adresse in der Kopfzeile des Hosts für die Blast-Verbindungsanforderung. Wenn das BSG für die Verwendung von Port 443 konfiguriert ist, müssen die zulässigen Host-Kopfzeilen die externe IP-Adresse des BSG-Hostnamens enthalten, der in der externen Blast-URL für das jeweilige UAG konfiguriert ist.

    Wenn keine Host-Kopfzeilenwerte angegeben werden, wird der vom Client gesendete Host-Kopfzeilenwert standardmäßig akzeptiert.

    CA-Zertifikat Diese Option wird aktiviert, wenn ein Syslog-Server hinzugefügt wird. Wählen Sie ein gültiges Zertifikat der Syslog-Zertifizierungsstelle aus.
    URL für Integritätsprüfung Geben Sie eine URL ein, mit der der Load Balancer eine Verbindung herstellt und den Zustand von Unified Access Gateway überprüft.
    HTTP-Systemzustandsüberwachung Diese Umschaltoption ist standardmäßig deaktiviert. In der Standardkonfiguration werden HTTP-URL-Anforderungen zur Integritätsprüfung an HTTPS weitergeleitet. Wenn Sie diese Umschaltoption aktivieren, antwortet Unified Access Gateway auf die Integritätsprüfungsanforderung auch über HTTP.
    Cookies für Zwischenspeicherung Der Satz Cookies, den Unified Access Gateway zwischenspeichert. Der Standardwert ist „keine“.
    Zeitüberschreitung der Sitzung Der Standardwert ist 36000000 Millisekunden.
    Hinweis: Der Wert von Session Timeout auf dem Unified Access Gateway muss mit dem Wert der Forcibly disconnect users-Einstellung auf dem Horizon Connection Server übereinstimmen.

    Die Forcibly disconnect users-Einstellung ist eine der allgemeinen globalen Einstellungen in der Horizon-Konsole. Weitere Informationen zu dieser Einstellung finden Sie unter Konfigurieren von Einstellungen für Client-Sitzungen in der Dokumentation VMware Horizon-Verwaltung unter VMware Docs.

    Stilllegungsmodus Aktivieren Sie diese Umschaltoption, um die Unified Access Gateway-Appliance anzuhalten, damit ein konsistenter Zustand für Wartungsaufgaben erreicht wird
    Überwachungsintervall Der Standardwert ist 60.
    Unterstützung für SAML-Zertifikat-Rollover aktivieren Aktivieren Sie diese Umschaltoption, um SAML-SP-Metadaten mit Entitäts-ID basierend auf dem Zertifikat zu generieren. Die zertifikatbasierte Entitäts-ID unterstützt einen reibungslosen Zertifikats-Rollover mit separaten SP-Konfigurationen auf IDP. Um diesen Wert zu ändern, müssen Sie den IDP neu konfigurieren.
    Lebensdauer des Kennworts Anzahl der Tage, die das Kennwort für den Benutzer in der Rolle ADMIN gültig ist.

    Der Standardwert lautet 90 Tage. Der Maximalwert, der konfiguriert werden kann, beträgt 999 Tage.

    Damit das Kennwort nie abläuft, geben Sie 0 als Wert für dieses Feld an.

    Überwachen der Lebensdauer des Benutzerkennworts Anzahl der Tage, die das Kennwort für die Benutzer in der Rolle ÜBERWACHUNG gültig ist.

    Der Standardwert lautet 90 Tage. Der Maximalwert, der konfiguriert werden kann, beträgt 999 Tage.

    Damit das Kennwort nie abläuft, geben Sie 0 als Wert für dieses Feld an.

    Zeitüberschreitung für Anforderung Gibt die maximale Wartezeit an, die Unified Access Gateway auf den Erhalt einer Anfrage wartet.

    Der Standardwert lautet 3000.

    Diese Zeitüberschreitung muss in Millisekunden angegeben werden.

    Body-Receive-Zeitüberschreitung Gibt die maximale Wartezeit an, die Unified Access Gateway auf den Erhalt eines Anfragetexts wartet.

    Die Standardeinstellung ist 5000.

    Diese Zeitüberschreitung muss in Millisekunden angegeben werden.

    Maximale Anzahl von Verbindungen pro Sitzung Maximale Anzahl der zulässigen TCP-Verbindungen pro TLS-Sitzung.

    Der Standardwert lautet 16.

    Um für die zulässige Anzahl von TCP-Verbindungen keinen Grenzwert anzugeben, legen Sie als Wert für dieses Feld 0 fest.

    Hinweis: Ein Feldwert von 8 oder niedriger führt zu Fehlern bei Horizon Client.
    Leerlaufzeitüberschreitung für Client-Verbindung Geben Sie den Zeitraum (in Sekunden) ein, über den eine Clientverbindung im Leerlauf verbleiben kann, bevor die Verbindung getrennt wird. Der Standardwert beträgt 360 Sekunden (6 Minuten). Der Wert 0 bedeutet, dass keine Zeitüberschreitung für den Leerlauf vorhanden ist.
    Zeitüberschreitung für die Authentifizierung

    Die maximale Wartezeit in Millisekunden, bis zu der die Authentifizierung erfolgen muss. Die Standardeinstellung ist 300000. Wenn 0 angegeben ist, gibt es keine Zeitbeschränkung für die Authentifizierung.

    Toleranz für Zeitabweichung Geben Sie den zwischen einer Unified Access Gateway-Uhr und den anderen Uhren im selben Netzwerk zulässigen Zeitunterschied in Sekunden ein. Die Standardeinstellung ist 600 Sekunden.
    Maximale zulässige System-CPU Gibt die maximal zulässige durchschnittliche CPU-Nutzung des Systems pro Minute an.

    Wenn der konfigurierte CPU-Grenzwert überschritten wird, sind keine neuen Sitzungen zulässig und der Client erhält einen HTTP 503-Fehler mit dem Hinweis, dass die Unified Access Gateway-Appliance vorübergehend überlastet ist. Darüber hinaus ermöglicht der überschrittene Grenzwert einem Lastausgleichsdienst, die Unified Access Gateway-Appliance als „Heruntergefahren“ zu markieren, damit neue Anfragen an andere Unified Access Gateway-Appliances weitergeleitet werden können.

    Der Wert wird in Prozent angegeben.

    Der Standardwert lautet 100%.

    Am CEIP teilnehmen Bei Aktivierung werden Informationen des Programms zur Verbesserung der Benutzerfreundlichkeit (CEIP) an VMware gesendet. Weitere Informationen dazu finden Sie unter Programm zur Verbesserung der Benutzerfreundlichkeit beitreten oder verlassen.
    SNMP aktivieren Aktivieren Sie diese Umschaltoption, um den SNMP-Dienst zu aktivieren. Simple Network Management Protocol erfasst Systemstatistiken, Arbeitsspeicher- und Festplattennutzungsstatistiken sowie MIB-Informationen des Tunnel-Servers durch Unified Access Gateway. Die Liste der verfügbaren Management Information Base (MIB),
    • UCD-SNMP-MIB::systemStats
    • UCD-SNMP-MIB::memory
    • UCD-SNMP-MIB::dskTable
    • VMWARE-TUNNEL-SERVER-MIB::vmwTunnelServerMIB
    SNMP-Version Wählen Sie die gewünschte SNMP-Version aus.
    Hinweis: Wenn Sie Unified Access Gateway über PowerShell bereitgestellt und SNMP aktiviert haben, aber weder über PowerShell noch über die Unified Access Gateway-Admin-Benutzeroberfläche SNMPv3-Einstellungen konfiguriert haben, werden standardmäßig die Versionen SNMPv1 und SNMPV2c verwendet.

    Informationen zum Konfigurieren der SNMPv3-Einstellungen in der Admin-Benutzeroberfläche finden Sie unter Konfigurieren von SNMPv3 mithilfe der Unified Access Gateway-Admin-Benutzeroberfläche.

    Zum Konfigurieren von SNMPv3-Einstellungen über die PowerShell-Bereitstellung müssen bestimmte SNMPv3-Einstellungen zur INI-Datei hinzugefügt werden. Siehe Ausführen eines PowerShell-Skripts zur Bereitstellung von Unified Access Gateway.

    Haftungsausschluss für Administratoren Geben Sie den Text für den Haftungsausschluss basierend auf der Benutzervereinbarungsrichtlinie Ihrer Organisation ein.

    Damit sich ein Administrator erfolgreich bei der Admin-Benutzeroberfläche von Unified Access Gateway anmelden kann, muss der Administrator die Vereinbarung akzeptieren.

    Der Text für den Haftungsausschluss kann entweder über die PowerShell-Bereitstellung oder die Admin-Benutzeroberfläche von Unified Access Gateway konfiguriert werden. Weitere Informationen zur PowerShell-Einstellung in der INI-Datei finden Sie unter Ausführen eines PowerShell-Skripts zur Bereitstellung von Unified Access Gateway.

    Bei Verwendung der Admin-Benutzeroberfläche von Unified Access Gateway zum Konfigurieren dieses Textfelds muss sich der Administrator zuerst bei der Admin-Benutzeroberfläche anmelden und anschließend den Text für den Haftungsausschluss konfigurieren. Bei nachfolgenden Administratoranmeldungen wird der Text angezeigt, den der Administrator vor dem Zugriff auf die Anmeldeseite akzeptieren muss.

    DNS Geben Sie Domain Name System(DNS)-Adressen ein, die zur Konfigurationsdatei /run/systemd/resolve/resolv.conf hinzugefügt werden. Diese muss eine gültige DNS-Suchadresse enthalten. Klicken Sie auf „+“, um eine neue DNS-Adresse hinzuzufügen.
    DNS-Suche Geben Sie eine DNS-Suche ein, die zur Konfigurationsdatei /run/systemd/resolve/resolv.conf hinzugefügt wird. Diese muss eine gültige DNS-Suchadresse enthalten. Klicken Sie auf „+“, um einen neuen DNS-Sucheintrag hinzuzufügen.
    Uhrzeitsynchronisierung mit Host Aktivieren Sie diese Umschaltoption, um die Uhrzeit auf der Unified Access Gateway-Appliance mit der Uhrzeit des ESXi-Hosts zu synchronisieren.

    Diese Umschaltoption ist standardmäßig deaktiviert.

    Diese Option verwendet VMware Tools für die Uhrzeitsynchronisierung und wird nur unterstützt, wenn Unified Access Gateway auf dem ESXi-Host bereitgestellt wird.

    Wenn Sie diese Option für die Uhrzeitsynchronisierung auswählen, sind die Optionen NTP Servers und FallBack NTP Servers deaktiviert.

    Diese Option kann über PowerShell konfiguriert werden, indem der Parameter hostClockSyncEnabled in der INI-Datei hinzugefügt wird. Siehe Ausführen eines PowerShell-Skripts zur Bereitstellung von Unified Access Gateway.

    NTP-Server NTP-Server für die Synchronisierung des Netzwerkzeitprotokolls. Sie können gültige IP-Adressen und Hostnamen eingeben. Alle schnittstellenbezogenen NTP-Server, die von der systemd-networkd.service-Konfiguration oder über DHCP abgerufen werden, haben Vorrang vor diesen Konfigurationen. Klicken Sie auf „+“, um einen neuen NTP-Server hinzuzufügen.

    Wenn Sie diese Option für die Uhrzeitsynchronisierung auswählen, wird Time Sync With Host deaktiviert.

    Fallback-NTP-Server Fallback-NTP-Server für die Synchronisierung des Netzwerkzeitprotokolls. Wenn keine NTP-Serverinformationen gefunden werden, werden diese Fallback-NTP-Server-Hostnamen oder -IP-Adressen verwendet. Klicken Sie auf „+“, um einen neuen Fallback-NTP-Server hinzuzufügen.

    Wenn Sie diese Option für die Uhrzeitsynchronisierung auswählen, wird Time Sync With Host deaktiviert.

    Erweiterte Validierung des Serverzertifikats Aktivieren Sie diese Umschaltoption, um sicherzustellen, dass Unified Access Gateway eine erweiterte Validierung des empfangenen SSL-Serverzertifikats für ausgehende TLS-Verbindungen zu den Backend-Servern durchführt.

    Zu den erweiterten Prüfungen gehören die Validierung des Ablaufs des Zertifikats, die Nichtübereinstimmung im Hostnamen, der Zertifikatsperrstatus und die Werte für die erweiterte Schlüsselnutzung.

    Diese Option ist standardmäßig deaktiviert.

    Diese Option kann über PowerShell konfiguriert werden, indem der Parameter extendedServerCertValidationEnabled in der ini-Datei hinzugefügt wird. Siehe Ausführen eines PowerShell-Skripts zur Bereitstellung von Unified Access Gateway.

    Öffentliche SSH-Schlüssel Laden Sie öffentliche Schlüssel hoch, um Root-Benutzerzugriff auf die virtuelle Maschine von Unified Access Gateway zu ermöglichen, wenn Sie die Option für öffentliche/private Schlüsselpaare verwenden.

    Administratoren können mehrere, eindeutige öffentliche Schlüssel in das Unified Access Gateway hochladen.

    Dieses Feld ist nur dann in der Admin-UI sichtbar, wenn folgende SSH-Optionen während der Bereitstellung auf true festgelegt sind: SSH aktivieren und SSH-Root-Anmeldung mit Schlüsselpaar zulassen. Informationen zu diesen Optionen finden Sie unter Bereitstellen von Unified Access Gateway mit dem OVF-Vorlagenassistenten.

  4. Klicken Sie auf Speichern.

Nächste Maßnahme

Konfigurieren Sie die Edge-Diensteinstellungen für die Komponenten, mit denen Unified Access Gateway bereitgestellt wird. Konfigurieren Sie nach den Edgeeinstellungen die Authentifizierungseinstellungen.