La opción TLS/SSL es obligatoria para las conexiones del cliente a los dispositivos de Unified Access Gateway. Los dispositivos de Unified Access Gateway para el cliente y los servidores intermedios que terminan las conexiones TLS/SSL necesitan certificados de servidor TLS/SSL.
Los certificados de servidor TLS/SSL los firma una entidad de certificación (CA). Una entidad de certificación es una entidad de confianza que garantiza la identidad del certificado y de su creador. Cuando una entidad de certificación firma un certificado, los usuarios dejan de recibir mensajes en los que se les pide que comprueben el certificado y de esta forma, los dispositivos del cliente ligero pueden conectarse sin necesidad de configuración adicional.
Al implementar un dispositivo de Unified Access Gateway, se genera un certificado de servidor TLS/SSL predeterminado. En entornos de producción, VMware recomienda sustituir el certificado predeterminado lo antes posible. El certificado predeterminado no está firmado por una CA de confianza. Utilice el certificado predeterminado solo en un entorno que no sea de producción.
VMware recomienda utilizar un certificado basado en clave RSA para el servidor TLS. El certificado y la clave privada se pueden proporcionar como un almacén de claves PKCS12/PFX o como archivos de cadena de certificados y clave privada independientes en formato PEM.
openssl
:
openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercert.pemPara convertir PKCS12/PFX en un archivo de clave privada en formato PEM, ejecute el siguiente comando
openssl
:
openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pemAl proporcionar el certificado y la clave en formato PEM, la clave privada debe tener el formato PKCS1. Para convertir la clave privada de PKCS8 a PKCS1 (del formato BEGIN PRIVATE KEY al formato BEGIN RSA PRIVATE KEY), ejecute el siguiente comando
openssl
:
openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem