Sie können für Unified Access Gateway verschiedene Typen von TLS/SSL-Zertifikaten verwenden. Die Auswahl des korrekten Zertifikattyps ist entscheidend für Ihre Bereitstellung. Die Kosten der verschiedenen Zertifikattypen sind unterschiedlich, je nach der Anzahl der Server, auf denen diese verwendet werden können.
Folgen Sie den VMware-Sicherheitsempfehlungen und verwenden Sie vollqualifizierte Domänennamen (FQDN) für Ihre Zertifikate, unabhängig vom ausgewählten Typ. Verwenden Sie selbst für die Kommunikation innerhalb Ihrer internen Domäne keinen einfachen Servernamen bzw. keine einfache IP-Adresse.
Namenszertifikat für einen einzelnen Server
Sie können ein Zertifikat mit einem Antragstellernamen für einen bestimmten Server generieren. Beispiel: dept.example.com.
Dieser Zertifikattyp ist beispielsweise hilfreich, wenn nur eine Unified Access Gateway-Appliance ein Zertifikat benötigt.
Wenn Sie eine Zertifikatsignieranforderung an eine Zertifizierungsstelle übermitteln, geben Sie den Servernamen an, der mit dem Zertifikat verknüpft werden soll. Stellen Sie sicher, dass die Unified Access Gateway-Appliance den bereitgestellten Servernamen auflösen kann und dieser mit dem Namen identisch ist, der dem Zertifikat zugeordnet wurde.
Alternative Antragstellernamen
Ein alternativer Antragstellername (Subject Alternative Name, SAN) ist ein Attribut, das einem Zertifikat bei der Ausstellung hinzugefügt werden kann. Mit diesem Attribut können Sie einem Zertifikat Antragstellernamen (URLs) hinzufügen, damit es mehr als einen Server validieren kann.
Beispielsweise lassen sich für die Unified Access Gateway-Appliances hinter einem Lastausgleichsdienst drei Zertifikate ausstellen: ap1.example.com, ap2.example.com und ap3.example.com. Durch Hinzufügen eines alternativen Antragstellernamens, der für den Hostnamen des Lastausgleichsdienstes steht (wie horizon.example.com in diesem Beispiel) ist das Zertifikat gültig, da es dem durch den Client angegebenen Hostnamen entspricht.
Wenn Sie eine Zertifikatsignieranforderung an eine Zertifizierungsstelle übermitteln, geben Sie die virtuelle IP-Adresse (VIP) des Lastausgleichsdiensts der externen Schnittstelle als Common Name und den SAN-Namen an. Stellen Sie sicher, dass die Unified Access Gateway-Appliance den bereitgestellten Servernamen auflösen kann und dieser mit dem Namen identisch ist, der dem Zertifikat zugeordnet wurde.
Das Zertifikat wird auf Port 443 verwendet.
Platzhalterzertifikat
Ein Platzhalterzertifikat wird für Verwendung für mehrere Dienste generiert. Beispiel: *.example.com.
Ein Platzhalterzertifikat ist sinnvoll, wenn für viele Server ein Zertifikat nötig ist. Wenn andere Anwendungen in Ihrer Umgebung zusätzlich zu den Unified Access Gateway-Appliances TLS/SSL-Zertifikate benötigen, können Sie ein Platzhalterzertifikat auch für diese Server verwenden. Wenn Sie allerdings ein Platzhalterzertifikat benutzen, das mit anderen Diensten gemeinsam verwendet wird, richtet sich die Sicherheit des VMware Horizon-Produkts auch nach der Sicherheit der anderen Dienste.
Ein Platzhalterzertifikat lässt sich nur auf einer Ebene einer Domäne verwenden. Beispielsweise kann ein Platzhalterzertifikat mit dem Antragstellernamen *.example.com für die Unterdomäne dept.example.com, aber nicht für dept.it.example.com eingesetzt werden.
In die Unified Access Gateway-Appliance importierte Zertifikate müssen von den Clientcomputern als vertrauenswürdig eingestuft werden und für alle Instanzen von Unified Access Gateway sowie für jeden Lastausgleichsdienst verwendet werden können, entweder durch Verwendung von Platzhaltern oder von SAN-Zertifikaten (Alternativer Antragstellername).