Sicherheitsserver und Unified Access Gateway-Appliances enthalten eine Blast Secure Gateway-Komponente. Bei aktiviertem Blast Secure Gateway können Clients, die Blast Extreme oder HTML Access verwenden, nach der Authentifizierung eine weitere sichere Verbindung zu einem Sicherheitsserver oder zu einer Unified Access Gateway-Appliance herstellen. Über diese Verbindung können Clients über das Internet auf Remote-Desktops und -anwendungen zugreifen.
Wenn Sie die Blast Secure Gateway-Komponente aktivieren, wird der Blast Extreme-Datenverkehr von einem Sicherheitsserver oder einer Unified Access Gateway-Appliance zu Remote-Desktops und -anwendungen weitergeleitet. Wenn Clients, die Blast Extreme nutzen, auch die USB-Umleitungsfunktion oder die MMR-Beschleunigung (Multimedia Redirection) verwenden, können Sie die View Secure Gateway-Komponenten zum Weiterleiten dieser Daten aktivieren.
Wenn Sie direkte Clientverbindungen konfigurieren, wird der Blast Extreme-Datenverkehr und anderer Datenverkehr direkt von einem Client an einen Remote-Desktop oder eine Remoteanwendung geleitet.
Wenn Benutzer wie Heim- oder mobile Benutzer über das Internet auf Desktops zugreifen, bieten Sicherheitsserver oder Unified Access Gateway-Appliances die erforderliche Sicherheit und Konnektivität, sodass keine VPN-Verbindung benötigt wird. Das Blast Secure Gateway gewährleistet, dass im Unternehmensrechenzentrum nur Remote-Datenverkehr von authentifizierten Benutzern verarbeitet wird. Endbenutzer können nur auf Ressourcen zugreifen, für deren Zugriff sie berechtigt sind.
Ein nativer Blast-Client, der über ein Blast Secure Gateway arbeitet, erwartet, dass die TLS-Verbindung seiner Blast-Sitzung durch das TLS-Zertifikat authentifiziert wird, das auf dem Blast Secure Gateway konfiguriert ist. Wenn die Blast-Verbindung des Clients andere TLS-Zertifikate sieht, wird die Verbindung unterbrochen, und der Client meldet eine Nichtübereinstimmung des Zertifikatfingerabdrucks.
Wenn Sie sich dafür entscheiden, dass der Client seine Verbindung zu einem TLS-terminierenden Proxy herstellt, der zwischen dem Client und dem Blast Secure Gateway platziert ist, können Sie die Zertifikatsanforderung des Clients erfüllen und einen Nichtübereinstimmungsfehler des Fingerabdrucks vermeiden, indem Sie dafür sorgen, dass der Proxy eine Kopie des Zertifikats (und des privaten Schlüssels) des Blast Secure Gateway vorlegt, sodass die Blast-Verbindung vom Client erfolgreich hergestellt werden kann.
Eine Alternative zum Kopieren des Zertifikats des Blast Secure Gateway in den Proxy besteht darin, dem Proxy ein eigenes TLS-Zertifikat zur Verfügung zu stellen und dann das Blast Secure Gateway so zu konfigurieren, dass der Client darauf hingewiesen wird, das Proxy-Zertifikat und nicht das Zertifikat des Blast Secure Gateway zu erwarten und zu akzeptieren.
Sie können das Blast Secure Gateway in ein Unified Access Gateway konfigurieren, indem Sie das Proxy-Zertifikat unter Blast-Proxy-Zertifikat in den Horizon-Einstellungen des Unified Access Gateway hochladen. Weitere Informationen finden Sie im Dokument Bereitstellen und Konfigurieren von VMware Unified Access Gateway unter https://docs.vmware.com/de/Unified-Access-Gateway/index.html.