Konfigurieren Sie den VMware Tunnel-Proxy mit dem Konfigurationsassistenten. Die im Assistenten konfigurierten Optionen sind im Installationsprogrammpaket enthalten, das Sie in der Workspace ONE UEM-Konsole herunterladen und auf Ihre Tunnel-Server verschieben können.
Konfigurieren Sie den VMware Tunnel-Proxy in der UEM Console unter Gruppen und Einstellungen > Alle Einstellungen > System > Enterprise Integration > VMware Tunnel > Proxy. Der Assistent führt Sie Schritt für Schritt durch die Installationsprogrammkonfiguration. Die im Assistenten konfigurierten Optionen sind im Installationsprogrammpaket enthalten, das Sie in der Workspace ONE UEM-Konsole herunterladen und auf Ihre Tunnel-Server verschieben können. Wenn Sie die Details in diesem Assistenten ändern, muss der VMware Tunnel in der Regel mit der neuen Konfiguration noch einmal installiert werden.
Prozedur
- Wechseln Sie zu Gruppen und Einstellungen > Alle Einstellungen > System > Enterprise Integration > VMware Tunnel > Proxy.
- Wenn Sie VMware Tunnel zum ersten Mal konfigurieren, wählen Sie Konfigurieren aus und folgen Sie den Bildschirmen des Konfigurationsassistenten.
- Wenn Sie VMwareTunnel zum ersten Mal konfigurieren, wählen Sie Überschreiben und dann den Umschalter Aktiviert VMware Tunnel aus. Wählen Sie dann Konfigurieren aus.
Hinweis: Durch das Überschreiben der VMware Tunnel-Proxyeinstellungen werden die VMware Tunnel-Konfigurationseinstellungen nicht überschrieben.
- Wählen Sie auf dem Bildschirm Bereitstellungstyp den Umschalter Aktivieren Proxy (Windows & Linux) aus und wählen Sie dann im Dropdown-Menü Proxy-Konfigurationstyp die Komponenten aus, die Sie konfigurieren möchten.
- Wählen Sie in den angezeigten Dropdown-Menüs aus, ob Sie eine Bereitstellung vom Typ Relay-Endpoint oder Proxy-Konfiguration konfigurieren. Um ein Beispiel für den ausgewählten Typ anzuzeigen, wählen Sie das Informationssymbol aus.
- Klicken Sie auf Weiter.
- Konfigurieren Sie auf dem Bildschirm Details die folgenden Einstellungen. Welche Optionen auf dem Bildschirm Details angezeigt werden, hängt davon ab, welchen Konfigurationstyp Sie im Dropdown-Menü Proxy-Konfigurationstyp ausgewählt haben.
- Basis-Proxy-Konfigurationstyp – Geben Sie folgende Informationen ein:
Einstellung Beschreibung Hostname Geben Sie den FQDN des öffentlichen Hostnamens für den Tunnel-Server ein, z. B. tunnel.acmemdm.com. Dieser Hostname muss öffentlich verfügbar sein, da Geräte über das Internet eine Verbindung mit diesem DNS herstellen. Relay-Port Der Proxy-Dienst wird auf diesem Port installiert. Geräte stellen eine Verbindung mit <relayhostname>:<port> her, um die VMware Tunnel-Proxy-Funktion zu nutzen. Der Standardwert ist 2020. Relay-Hostname (Nur Relay-Endpoint). Geben Sie den FQDN des öffentlichen Hostnamens für den Tunnel-Relay-Server ein, z. B. tunnel.acmemdm.com. Dieser Hostname muss öffentlich verfügbar sein, da Geräte über das Internet eine Verbindung mit diesem DNS herstellen. SSL-Auslagerung aktivieren Aktivieren Sie dieses Kontrollkästchen, wenn Sie die SSL-Auslagerung nutzen möchten, um die Last des Verschlüsselns und Entschlüsselns von Datenverkehr auf dem VMware Tunnel-Server zu verringern. Kerberos-Proxy verwenden Um den Zugriff auf die Kerberos-Authentifizierung für Ihre Ziel-Back-End-Webdienste zuzulassen, wählen Sie die Kerberos-Proxy-Unterstützung aus. Diese Funktion unterstützt derzeit keine Kerberos Constrained Delegation (KCD). Weitere Informationen finden Sie unter Konfigurieren der Kerberos-Proxy-Einstellungen.
Der Endpoint-Server muss sich in derselben Domäne wie KDC befinden, damit der Kerberos-Proxy erfolgreich mit KDC kommunizieren kann.
- Wenn Sie Relay-Endpoint als Proxy-Konfigurationstyp auswählen, geben Sie folgende Informationen ein:
Einstellung Beschreibung Relay-Hostname (Nur Relay-Endpoint). Geben Sie den FQDN des öffentlichen Hostnamens für den Tunnel-Relay-Server ein, z. B. tunnel.acmemdm.com. Dieser Hostname muss öffentlich verfügbar sein, da Geräte über das Internet eine Verbindung mit diesem DNS herstellen. Endpoint-Hostname Das interne DNS des Tunnel-Endpoint-Servers. Dieser Wert ist der Hostname, mit dem der Relay-Server am Relay-Endpoint-Port eine Verbindung herstellt. Wenn Sie den VMware Tunnel auf einem Server mit SSL-Auslagerung installieren möchten, geben Sie statt dem Hostnamen den Namen dieses Servers ein.
Geben Sie den Hostnamen ohne Protokoll (http://, https:// usw.) ein.
Relay-Port Der Proxy-Dienst wird auf diesem Port installiert. Geräte stellen eine Verbindung mit <relayhostname>:<port> her, um die VMware Tunnel-Proxy-Funktion zu nutzen. Der Standardwert ist 2020. Endpoint-Port (Nur Relay-Endpoint). Dieser Wert gibt der Port an, der für die Kommunikation zwischen dem VMware Tunnel-Relay und dem VMware Tunnel-Endpoint verwendet wird. Der Standardwert ist 2010.
Wenn Sie eine Kombination aus Proxy- und Per-App-Tunnel nutzen, wird der Relay-Endpoint als Teil des Front-End-Servers für den mehrstufigen Modus installiert. Für die Ports müssen unterschiedliche Werte angegeben werden.
SSL-Auslagerung aktivieren Aktivieren Sie dieses Kontrollkästchen, wenn Sie die SSL-Auslagerung nutzen möchten, um die Last des Verschlüsselns und Entschlüsselns von Datenverkehr auf dem VMware Tunnel-Server zu verringern. Kerberos-Proxy verwenden Um den Zugriff auf die Kerberos-Authentifizierung für Ihre Ziel-Back-End-Webdienste zuzulassen, wählen Sie die Kerberos-Proxy-Unterstützung aus. Diese Funktion unterstützt derzeit keine Kerberos Constrained Delegation (KCD). Weitere Informationen finden Sie unter Konfigurieren der Kerberos-Proxy-Einstellungen.
Der Endpoint-Server muss sich in derselben Domäne wie KDC befinden, damit der Kerberos-Proxy erfolgreich mit KDC kommunizieren kann.
Geben Sie im Textfeld Bereich den Bereich des KDC-Servers ein.
- Klicken Sie auf Weiter.
- Auf dem Bildschirm SSL können Sie das öffentliche SSL-Zertifikat konfigurieren, das die Client-Server-Kommunikation von der aktivierten Anwendung auf einem Gerät mit dem VMware Tunnel absichert. Dieses Setup verwendet für eine sichere Server-Client-Kommunikation standardmäßig ein AirWatch-Zertifikat.
- Wählen Sie die Option Öffentliches SSL-Zertifikat verwenden aus, wenn Sie für die Verschlüsselung zwischen Workspace ONE Web- oder SDK-fähige Anwendungen und dem VMware Tunnel-Server ein SSL-Zertifikat eines Drittanbieters verwenden möchten.
- Wählen Sie Hochladen aus, um eine PFX- oder P12-Zertifikatsdatei hochzuladen und geben Sie das Kennwort ein. Diese Datei muss sowohl ihr öffentliches als auch Ihr privates Schlüsselpaar enthalten. CER- und CRT-Dateien werden nicht unterstützt.
- Klicken Sie auf Weiter.
- Konfigurieren Sie auf dem Bildschirm Authentifizierung die folgenden Einstellungen, um die Zertifikate auszuwählen, die von Geräten zur Authentifizierung bei VMware Tunnel verwendet werden.
Standardmäßig verwenden alle Komponenten von AirWatch ausgestellte Zertifikate. Um für die Client-Server-Authentifizierung Zertifikate einer Unternehmenszertifizierungsstelle zu verwenden, wählen Sie die Option Unternehmenszertifizierungsstelle aus.
- Wählen Sie Standard aus, um von AirWatch ausgestellte Zertifikate zu verwenden. Das standardmäßig von AirWatch ausgestellte Clientzertifikat wird nicht automatisch verlängert. Um diese Zertifikate zu verlängern, müssen Sie das VPN-Profil erneut auf Geräten veröffentlichen, auf denen sich ein ablaufendes oder abgelaufenes Clientzertifikat befindet. Den Zertifikatsstatus für ein Gerät können Sie anzeigen, indem Sie zu Geräte > Gerätedetails > Mehr > Zertifikate navigieren.
- Wählen Sie für die Authentifizierung zwischen Workspace ONE Web, Per-App-Tunnel-fähigen Anwendungen oder SDK-fähigen Anwendungen anstelle der von AirWatch ausgestellten Zertifikate Unternehmenszertifizierungsstelle aus. VMware Tunnel erfordert, dass vor der Konfiguration von VMware Tunnel in Ihrer Workspace ONE UEM-Umgebung eine Zertifizierungsstelle und eine Zertifikatvorlage eingerichtet sind.
- Wählen Sie die Zertifizierungsstelle und die Zertifikatvorlage aus, die zum Anfordern eines Zertifikats von der Zertifizierungsstelle verwendet werden.
- Wählen Sie Hochladen aus, um die vollständige Kette des öffentlichen Schlüssels Ihrer Zertifizierungsstelle in den Konfigurationsassistenten hochzuladen.
Die Zertifizierungsstellenvorlage muss als Antragstellernamen CN=UDID enthalten. Als Zertifizierungsstellen unterstützt werden ADCS, RSA und SCEP.
Zertifikate werden basierend auf den Einstellungen Ihrer Zertifizierungsstellenvorlage automatisch verlängert.
- Klicken Sie auf Hinzufügen, um ein Zwischenzertifikat hinzuzufügen.
- Klicken Sie auf Weiter.
- Auf dem Bildschirm Sonstiges können Sie Zugriffsprotokolle für die Proxy- oder Per-App-Tunnel-Komponenten verwenden. Aktivieren Sie den Umschalter Zugriffsprotokolle, um die Funktion zu konfigurieren.
Wenn Sie diese Funktion verwenden möchten, müssen Sie sie im Rahmen dieser Konfiguration konfigurieren, da sie später nicht ohne Neukonfiguration des Tunnels und erneutes Ausführen des Installationsprogramms aktiviert werden kann. Weitere Informationen zu diesen Einstellungen finden Sie in den Zugriffsprotokollen und der Syslog-Integration sowie unter „Konfigurieren erweiterter Einstellungen für VMware Tunnel“.
- Geben Sie im Feld Syslog-Hostname die URL Ihres Syslog-Hosts ein. Diese Einstellung wird angezeigt, nachdem Sie die Zugriffsprotokolle aktiviert haben.
- Geben Sie im Feld UDP-Port den Port ein, über den Sie mit dem Syslog-Host kommunizieren möchten.
- Wählen Sie Weiter aus und prüfen Sie die Übersicht Ihrer Konfiguration, um sicherzustellen, dass alle Hostnamen, Ports und Einstellungen korrekt angegeben sind. Klicken Sie dann auf Speichern.
Das Installationsprogramm kann nun auf dem Bildschirm für die VMware Tunnel- Konfiguration heruntergeladen werden.
- Wählen Sie auf dem Bildschirm Konfiguration die Registerkarte Allgemein aus. Auf der Registerkarte Allgemein können Sie Folgendes durchführen:
- Sie können die Verbindung testen, um die Konnektivität zu überprüfen.
- Sie können XML-Konfiguration herunterladen auswählen, um die Konfiguration der vorhandenen VMware Tunnel-Instanz als XML-Datei abzurufen.
- Sie können den Hyperlink Unified Access Gateway herunterladen anklicken. die Nicht-FIPS-OVA-Datei herunterladen. Die heruntergeladene Datei enthält auch das PowerShell-Skript und die INI-Vorlagendatei für die PowerShell-Bereitstellungsmethode. Die VHDX- oder FIPS-OVA-Datei müssen Sie von My Workspace ONE herunterladen.
- Für veraltete Installationsprogrammverfahren können Sie das Windows-Installationsprogramm herunterladen.
Über diese Schaltfläche wird eine einzelne BIN-Datei heruntergeladen, die für die Bereitstellung des VMware Tunnel-Servers verwendet wird. Die für die Installation erforderliche XML-Konfigurationsdatei kann nach der Bestätigung des Zertifikatkennworts in der Workspace ONE UEM-Konsole heruntergeladen werden.
- Klicken Sie auf Speichern.