Access Point permite el uso de varios tipos de certificado TLS/SSL. Es crucial seleccionar el tipo de certificado correcto para la implementación. Los distintos tipos de certificado tienen un costo diferente, según el número de servidores en los que se puedan utilizar.

Siga las recomendaciones de seguridad de VMware y utilice nombres de dominio plenamente cualificados (FQDN) para sus certificados, independientemente del tipo seleccionado. No utilice un simple nombre de servidor o dirección IP, ni siquiera para comunicaciones dentro de su dominio interno.

Certificado de nombre de servidor único

Es posible generar un certificado con un nombre de sujeto para un servidor específico. Por ejemplo, dept.ejemplo.com.

Este tipo de certificado resulta útil si, por ejemplo, solo se necesita un certificado para un dispositivo de Access Point.

Al enviar una solicitud de firma de certificado a una autoridad de certificación, se proporciona el nombre del servidor que se asociará al certificado. Asegúrese de que el dispositivo de Access Point pueda resolver el nombre de servidor que proporcione de manera que coincida con el nombre asociado al certificado.

Nombres alternativos de sujeto

Un nombre alternativo de sujeto (SAN) es un atributo que se puede agregar a un certificado en el momento de su emisión. Este atributo se utiliza para agregar nombres de sujeto (URL) a un certificado, para que pueda validar más de un servidor.

Por ejemplo, se pueden emitir tres certificados para los dispositivos de Access Point que se encuentran detrás de un equilibrador de carga: ap1.ejemplo.com, ap2.ejemplo.com y ap3.ejemplo.com. Al agregar un nombre alternativo del sujeto que representa el nombre de host del equilibrador de carga, como horizon.ejemplo.com en este ejemplo, el certificado será válido porque coincidirá con el nombre de host especificado por el cliente.

Certificado comodín

Un certificado comodín se genera para que se pueda utilizar en varios servicios. Por ejemplo: *.ejemplo.com.

Un comodín es útil si muchos servidores necesitan un certificado. Si otras aplicaciones de su entorno, además de los dispositivos de Access Point, necesitan certificados TLS/SSL, también puede utilizar un certificado comodín para esos servidores. No obstante, si utiliza un certificado comodín compartido con otros servicios, la seguridad del producto VMware Horizon dependerá también de la seguridad de esos otros servicios.

Nota:

Solo se puede utilizar un certificado comodín en un único nivel de dominio. Por ejemplo, un certificado comodín con el nombre de sujeto *.ejemplo.com se puede utilizar para el subdominio dept.ejemplo.com pero no para dept.it.ejemplo.com.

Los certificados que se importan al dispositivo de Access Point deben ser de confianza para los equipos cliente y se deben poder aplicar también a todas las instancias de Access Point y a cualquier equilibrador de carga, ya sea mediante el uso de comodines o mediante certificados de nombre alternativo del sujeto (SAN).