Sie müssen die TLS/SSL-Zertifikate für Unified Access Gateway-Appliances konfigurieren. TLS/SSL ist für Clientverbindungen mit Unified Access Gateway-Appliances erforderlich. Clientverbundene Unified Access Gateway-Appliances und Zwischenserver, die TLS/SSL-Verbindungen beenden, benötigen TLS/SSL-Serverzertifikate.

TLS/SSL-Zertifikate werden durch eine Zertifizierungsstelle (CA, Certificate Authority) signiert. Eine Zertifizierungsstelle ist eine vertrauenswürdige Instanz, welche die Identität des Zertifikats und seines Erstellers bestätigt. Wenn ein Zertifikat durch eine vertrauenswürdige Zertifizierungsstelle signiert wurde, werden die Benutzer nicht länger über Meldungen aufgefordert, das Zertifikat zu überprüfen, und Thin Client-Geräte können ohne zusätzliche Konfiguration eine Verbindung herstellen.

Hinweis: Die Konfiguration der TLS-/SSL-Zertifikate für die Unified Access Gateway Appliance gilt nur für Horizon und den Web-Reverse-Proxy.

Beim Bereitstellen einer Unified Access Gateway-Appliance wird ein standardmäßiges TLS-/SSL-Serverzertifikat erstellt. Für Produktionsumgebungen empfiehlt VMware, das Standardzertifikat so schnell wie möglich zu ersetzen. Das Standardzertifikat ist nicht von einer vertrauenswürdigen Zertifizierungsstelle signiert. Verwenden Sie das Standardzertifikat nur in einer Nicht-Produktionsumgebung.

VMware empfiehlt die Verwendung eines RSA-schlüsselbasierten Zertifikats für den TLS-Server. Das Zertifikat und der private Schlüssel können als PKCS12/PFX-Keystore oder als separater privater Schlüssel und Dateien der Zertifikatskette im PEM-Format bereitgestellt werden.

Um eine PKCS12/PFX-Datei in eine Zertifikatskettendatei im PEM-Format zu konvertieren, führen Sie den folgenden openssl-Befehl aus: 
openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercert.pem
Um eine PKCS12/PFX-Datei in eine private Schlüsseldatei im PEM-Format zu konvertieren, führen Sie den folgenden openssl-Befehl aus: 
openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pem
Bei der Bereitstellung des Zertifikats und des Schlüssels im PEM-Format muss der private Schlüssel im PKCS1-Format vorliegen. Führen Sie den folgenden openssl-Befehl aus, um den privaten Schlüssel von PKCS8 in PKCS1 zu konvertieren, das heißt, vom Format BEGIN PRIVATE KEY in das Format BEGIN RSA PRIVATE KEY: 
openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem

Einstellungen für TLS-Serverzertifikat auf der Admin-Benutzeroberfläche

  1. Klicken Sie im Abschnitt Manuell konfigurieren der UAG-Verwaltungskonsole auf Auswählen.
  2. Wählen Sie im Abschnitt Erweiterte Einstellungen > Einstellungen für Identity Bridging das Zahnradsymbol Einstellungen für TLS-Serverzertifikat aus.

    Details zum Admin- und Internetzertifikat werden angezeigt.

  3. Klicken Sie auf das Zahnradsymbol, um das Zertifikat zu bearbeiten.
  4. Wählen Sie die Schnittstelle zur Anwendung des Zertifikats aus, wie z. B. Admin, Internet oder beides.
  5. Wählen Sie PEM oder PFX als Zertifikatstyp aus

    Wählen Sie für PEM den privaten Schlüssel und die Zertifikatskette aus.

    Wählen Sie für PFX das hochzuladende PFX-Zertifikat aus und geben Sie das PFX-Kennwort und den Alias ein.

  6. Klicken Sie auf Speichern.