Verwenden Sie diesen Workflow, um das vorhandene SSL-Zertifikat für die Gateway-Konfiguration zu ersetzen, die auf Ihrem Pod bereitgestellt ist. Sie können diesen Workflow auch verwenden, um bei Bedarf den vollqualifizierten Domänennamen (FQDN) zu ersetzen, der auf dem Gateway konfiguriert ist. Ein wahrscheinlicher Grund für das Ersetzen des SSL-Zertifikats liegt vor, wenn das aktuelle SSL-Zertifikat in der Gateway-Konfiguration demnächst abläuft. Diese Schritte werden mithilfe des Assistenten zum Bearbeiten von Pods in der Horizon Universal Console ausgeführt.

Wichtig: Wenn folgender Anwendungsfall bei Ihnen zutrifft:

Für diesen Anwendungsfall müssen andere Schritte ausgeführt werden. Befolgen Sie die unten beschriebenen Schritte nicht, wenn es sich in Ihrem Fall um die Workspace ONE Access Connector-Integration mit Ihren Pods handelt. Diese Schritte unterscheiden sich grundlegend von den nachfolgend beschriebenen. Einen Überblick über die Workspace ONE Access Connector-Integration und die entsprechenden Anforderungen finden Sie unter Horizon Cloud Umgebung mit Einzel-Pod-Brokering – Schritte zum Konfigurieren eines Horizon Cloud-Pods in Microsoft Azure mit den relevanten Workspace ONE Access-Mandanteninformationen. Wenn Ihre Bereitstellung ein seltenes, untypisches Szenario ist, in dem die Clients und Browser der Endbenutzer eine direkte Verbindung mit den Pod Manager-Appliances herstellen, befolgen Sie die unten aufgeführten Schritte nicht, um das SSL-Zertifikat zu ersetzen, das in diesen seltenen Szenarien verwendet wird. Eine Beschreibung der Zertifikatskonfiguration, die für den Workspace ONE Access Connector-Anwendungsfall und den des untypischen, seltenen Szenarios gilt, finden Sie stattdessen unter Übersicht über das Konfigurieren von SSL-Zertifikaten auf den Manager-VMs des Horizon Cloud-Pods für die primäre Verwendung durch den Workspace ONE Access Connector mit Pods in einer Umgebung mit Einzel-Pod-Brokering.

Wenn seit dem ersten Bereitstellen der Gateways des Pods etwas Zeit vergangen ist, stellen Sie möglicherweise fest, dass Sie die für die Pod-Gateways konfigurierten SSL-Zertifikate und/oder den FQDN ersetzen müssen, der auf den Gateways konfiguriert ist. In der Regel stellen Sie für Ihre Endbenutzer einen FQDN bereit, der in Ihrem Horizon Client oder Browser verwendet werden soll, um auf ihre vom Pod bereitgestellten Ressourcen zuzugreifen. Wie in den Themen Anmelden bei Desktops und RDS-basierten Remoteanwendungen mit einem Browser und Anmelden bei Desktops oder RDS-basierten Remoteanwendungen mit Horizon Client beschrieben, öffnen einige Endbenutzer einen Browser und geben diesen FQDN ein, während andere möglicherweise einen der Horizon Clients verwenden. Das auf dem Gateway, auf das Endbenutzer ihre Clients und Browser verweisen sollen, konfigurierte SSL-Zertifikat ermöglicht diesen Clients und dem Browser das Herstellen von vertrauenswürdigen Verbindungen zu diesem Gateway. Wie unter Der bereitgestellte Horizon Cloud-Pod beschrieben, kann der Pod eine externe Unified Access Gateway-Konfiguration, eine interne oder beide Typen besitzen. Für beide Unified Gateway-Konfigurationstypen werden die Unified Access Gateway-Instanzen mittels FQDN und SSL-Zertifikatsinformationen konfiguriert.

Sie können das SSL-Zertifikat und den FQDN ersetzen, die aus verschiedenen Gründen auf den Gateways des Pods konfiguriert wurden. Ein Grund kann darauf zurückzuführen sein, dass das auf einem Gateway konfigurierte SSL-Zertifikat ein Ablaufdatum in seiner Zertifikatskette aufweist und Kalenderdatum und Uhrzeit näherrücken. In dieser Situation sollten Sie das SSL-Zertifikat ersetzen, bevor Sie das Ablaufdatum des aktuellen Zertifikats erreichen, um Probleme mit dem Zertifikatsvertrauen auf den Clients oder Browsern der Endbenutzer zu vermeiden, wenn sie versuchen, eine Verbindung mit dem Gateway herzustellen. Ein weiterer Grund für das Ersetzen des SSL-Zertifikats liegt vor, wenn Ihre Endbenutzer einen anderen FQDN in ihren Clients und Browsern verwenden sollen. Da das SSL-Zertifikat mit einem FQDN einhergeht und Sie den FQDN in einen anderen ändern möchten, ersetzen Sie das SSL-Zertifikat in der Regel durch ein Zertifikat, das auf dem neuen FQDN basiert.

Hinweis: Während das System die Konfiguration ändert, werden für Endbenutzer, die vom Pod bediente Sitzungen verbunden haben, die aktiven Sitzungen getrennt. Es tritt kein Datenverlust auf. Nachdem Sie die Änderungen an der Konfiguration ausgeführt haben, können sich diese Benutzer neu verbinden.

Voraussetzungen

Um diesen Workflow zu beenden, müssen folgende Bedingungen gegeben sein:

  • Das SSL-Ersatzzertifikat, das die folgenden Kriterien erfüllt. Dieses Zertifikat sollte den FQDN verwenden, den Ihre Endbenutzer in ihren Clients und Browsern verwenden, um sich für den Zugriff auf ihre berechtigten Ressourcen mit dem Gateway des Pods zu verbinden.
  • Ein signiertes SSL-Server-Zertifikat (im PEM-Format) basierend auf diesem FQDN. Die Unified Access Gateway-Funktionen erfordern für Clientverbindungen SSL, wie in der Produktdokumentation zu Unified Access Gateway beschrieben. Das Zertifikat muss von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert sein. Die PEM-Datei muss die gesamte Zertifikatskette mit dem privaten Schlüssel enthalten. Die PEM-Datei muss z. B. das SSL-Serverzertifikat, alle erforderlichen Zwischenzertifizierungsstellen-Zertifikate, das Stamm-Zertifizierungsstellenzertifikat und den privaten Schlüssel enthalten. OpenSSL ist ein Tool mit dem Sie die PEM-Datei erstellen können.
    Wichtig: Alle Zertifikate in der Zertifikatskette müssen gültige Zeiträume aufweisen. Die Unified Access Gateway-VMs erfordern, dass alle Zertifikate in der Zertifikatskette und alle gegebenenfalls vorhandenen Zwischenzertifikate gültige Zeiträume besitzen. Wenn ein Zertifikat in der Zertifikatskette abgelaufen ist, können später beim Hochladen des Zertifikats in die Unified Access Gateway-Konfiguration unerwartete Fehler auftreten.
  • Der FQDN, der diesem SSL-Zertifikat entspricht. Dieser FQDN ist derjenige, der in den Clients und Browsern Ihrer Endbenutzer verwendet wird, um eine Verbindung zum Gateway des Pods herzustellen. Wenn Sie das SSL-Zertifikat ersetzen, um Probleme mit dem Ablaufdatum auf den Clients Ihrer Benutzer zu vermeiden, sollten Sie den FQDN beibehalten, der bereits auf dem Gateway konfiguriert ist. Dieser wird im Assistenten angezeigt. Wenn Sie auch den FQDN ändern, muss der neue FQDN für den jeweiligen Pod eindeutig sein. Sie können keinen FQDN wiederverwenden, der bereits für Ihre anderen Pods konfiguriert ist.
    Wichtig: Dieser FQDN darf keine Unterstriche enthalten. In diesem Release werden Verbindungen zu den Unified Access Gateway-Instanzen fehlschlagen, wenn der FQDN Unterstriche enthält.

Prozedur

  1. Navigieren Sie in der Konsole zu Einstellungen > Kapazität und klicken Sie auf den Namen des Pods, um die zugehörige Detailseite zu öffnen.
  2. Klicken Sie auf der Detailseite des Pods auf Bearbeiten.
  3. Klicken Sie im Fenster „Pod bearbeiten“ auf Weiter, um mit dem Schritt Gateway-Einstellungen fortzufahren.
  4. Führen Sie je nach den Änderungen, die Sie in der Gateway-Konfiguration vornehmen müssen, den relevanten Schritt aus, entweder im Abschnitt Externes UAG oder im Abschnitt Internes UAG.
    1. Ersetzen Sie den Wert für den FQDN durch einen neuen.
    2. Ersetzen Sie das SSL-Zertifikat, indem Sie auf Ändern klicken, um das neue Zertifikat hochzuladen.
      Laden Sie das Zertifikat im PEM-Format hoch, mit dem Unified Access Gateway den Clients die Herstellung vertrauenswürdiger Verbindungen mit Unified Access Gateway-Instanzen ermöglicht, die in Microsoft Azure ausgeführt werden. Das Zertifikat muss auf dem angegebenen FQDN basieren und von einer vertrauenswürdigen Zertifizierungsstelle signiert sein.
  5. Klicken Sie auf Speichern und Beenden.
    Es erscheint eine Bestätigungsmeldung, dass die Aktualisierung des FQDN oder Zertifikats bestehende Benutzerverbindungen trennt und Sie auffordert, den Start des Workflows zu bestätigen.
  6. Klicken Sie auf Ja, um den Workflow starten.
    Wichtig: Wenn eines der Zertifikate in der Zertifikatskette abgelaufen ist, wird für den Aktualisierungsstatus Aktualisierung ist fehlgeschlagen angezeigt. Prüfen Sie in diesem Fall in der Zertifikatdatei, ob alle Zertifikate über gültige Zeiträume verfügen.

Nächste Maßnahme

Wenn Sie für eine von Ihnen geänderte Unified Access Gateway-Konfiguration den FQDN geändert haben, sodass er sich von dem vorherigen unterscheidet, stellen Sie sicher, dass Sie den CNAME-Datensatz auf Ihrem DNS-Server aktualisieren, um den FQDN des Lastausgleichsdiensts der Konfiguration dem neuen FQDN zuzuordnen. Weitere Informationen dazu finden Sie unter So rufen Sie die Lastausgleich-Informationen des Horizon Cloud-Pod-Gateways für die Zuordnung im DNS-Server ab.