Unified Access Gateway con Horizon cumple las directrices de NIAP/CSfC y la validación requiere una configuración específica en el dispositivo Unified Access Gateway que es necesario para el funcionamiento de NIAP/CSfC.

Los cambios de configuración se enumeran de la siguiente manera:

  1. Implemente la versión de FIPS de Unified Access Gateway en VMware vSphere 7 o una versión posterior.
  2. Configure los siguientes parámetros durante la implementación.
    Nota: Solo puede configurar estos parámetros en el momento de la implementación. Si no los configura durante la implementación, Unified Access Gateway incluirá los valores predeterminados.
    Parámetros Descripción
    Root Password Management Policies
    passwordPolicyMinLen Longitud mínima de la contraseña raíz
    passwordPolicyMinClass Complejidad mínima de la contraseña raíz
    rootPasswordExpirationDays Número de días tras los cuales se debe restablecer obligatoriamente la contraseña raíz
    passwordPolicyFailedLockout Número de intentos de inicio de sesión fallidos después de los cuales el acceso del usuario raíz se bloquea temporalmente
    passwordPolicyUnlockTime Duración en segundos durante la que el usuario raíz se desbloquea después de un bloqueo temporal
    rootSessionIdleTimeoutSeconds Duración en segundos después de la cual caducará una sesión inactiva del usuario raíz
    Admin Password Management Policies
    adminpasswordPolicyMinLen Longitud mínima de la contraseña del administrador
    adminpasswordPolicyFailedLockoutCount Número de intentos de inicio de sesión fallidos después de los cuales el acceso del usuario administrador se bloqueará temporalmente
    adminpasswordPolicyUnlockTime

    Duración en segundos durante la que el usuario administrador se desbloquea después del bloqueo temporal

    adminSessionIdleTimeoutMinutes Duración en segundos después de la cual caducará una sesión inactiva del usuario administrador
    Other Parameters
    Texto del banner de inicio de sesión

    El texto del banner que se muestra durante el inicio de sesión en la consola web o SSH

    Origen de SecureRandom

    Este parámetro debe establecerse en /dev/random

    Para obtener más información sobre estos parámetros y sus valores, consulte las Ejecutar el script de PowerShell para implementar Unified Access Gateway en la Guía de implementación y configuración de VMware Unified Access Gateway en VMware Docs.

  3. Genere la CSR para los certificados TLS y los certificados firmados de enlace para las interfaces públicas y administrativas de Unified Access Gateway. Para obtener más información, consulte Generar una CSR y una clave privada mediante el comando uagcertutil en la Guía de implementación y configuración de VMware Unified Access Gateway en VMware Docs.
    Nota: Asegúrese de que todos los certificados de la cadena tengan firmas SHA-384. Cualquier falta de coincidencia de algoritmos de firma en los certificados y las configuraciones de TLS en Configuración del sistema puede provocar errores de protocolo de enlace de TLS y la pérdida de acceso al servidor.
  4. Configure los siguientes parámetros en la sección Configuración del sistema de la interfaz de usuario del administrador. Para obtener más información sobre estos parámetros, consulte Configurar los parámetros del sistema de Unified Access Gateway en la Guía de implementación y configuración de VMware Unified Access Gateway en VMware Docs.
    1. Configure los Conjuntos de cifrado de servidor TLS en TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384.
    2. Configure los Conjuntos de cifrado de cliente TLS en
      TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
    3. Configure el Proveedor SSL en JDK.
    4. Configure los Grupos con nombre TLS en secp256r1,secp384r1,secp521r1,ffdhe2048,ffdhe3072,ffdhe4096,ffdhe6144,ffdhe8192.
    5. Configure los Esquemas de firma de TLS en rsa_pkcs1_sha384.
    6. Configure el Texto de descargo de responsabilidad de administrador.
    7. Active la opción Sincronización de hora con el host.
    8. Active la opción Validación de certificado de servidor extendida.
      Nota: Unified Access Gateway no es compatible con las URL de LDAP para CRL, solo se admiten las URL http.
  5. Configure los ajustes del servidor syslog con el protocolo TLS. Para obtener más información sobre estos ajustes, consulte Configurar los ajustes de servidor syslog en la Guía de Implementación y configuración de VMware Unified Access Gateway en VMware Docs.
    Nota: El certificado del servidor syslog debe tener extendedKeyUsage marcado como extensión crítica.
      1. Haga clic en Seleccionar para cargar el Certificado de cliente syslog de TLS y la Clave de certificado de cliente syslog de TLS.
      2. Active la opción Syslog incluye mensajes del sistema.
      3. Haga clic en Agregar entrada de Syslog para agregar una nueva entrada de syslog a la tabla con los siguientes detalles.
        1. Establezca la Categoría en All Events.
        2. Establezca el Protocolo en TLS.
        3. Agregue el Host y el Puerto del servidor syslog.
      4. Haga clic en Seleccionar para cargar el Certificado CA de confianza.
      5. Haga clic en Agregar para guardar la nueva entrada y en Guardar para guardar los ajustes de syslog.
  6. Configure y habilite el ajuste Autenticación de certificado X509. Para obtener más información sobre estos ajustes, consulte Configurar la autenticación del certificado en Unified Access Gateway en la Guía de implementación y configuración de VMware Unified Access Gateway en VMware Docs.
    1. Abra la configuración del certificado X.509 en Configuración de autenticación.
    2. Active la opción Habilitar el certificado X.509.
    3. Haga clic en Seleccione para cargar los Certificados CA raíz e intermedio del cliente en formato PEM.
    4. Active la opción Revocación del certificado.
    5. Configure la comprobación de revocación de certificados basada en CRL. Puede configurar una URL para recuperar la CRL o configurar para leer los detalles de la propia cadena de certificados.
    6. Guarde la configuración de autenticación del certificado X.509.
  7. Genere la configuración del proveedor de identidad SAML y la configuración del proveedor de servicios SAML.
    1. Abra la configuración de SAML y expanda la configuración del proveedor de identidad SAML.
    2. Genere la configuración del proveedor de identidad cargando la Clave privada y la Cadena de certificado (firmada con el algoritmo RSA+SHA384). Para obtener más información, consulte Generar metadatos SAML de Unified Access Gateway en la Guía de implementación y configuración de VMware Unified Access Gateway en VMware Docs.
    3. Descargue el XML de configuración del proveedor de identidad generado proporcionando un Nombre de host externo de Unified Access Gateway.
    4. Cargue el archivo XML en Connection Server y descargue el XML de metadatos SAML. Para obtener más información, consulte Configurar la autenticación SAML para que funcione con True SSO en la Documentación del producto de VMware Horizon en VMware Docs.
    5. Abra la configuración de SAML y expanda la configuración del proveedor de servicios SAML.
    6. Introduzca un Nombre de proveedor de servicios y pegue el contenido de XML de metadatos de SAML. Para obtener más información, consulte las Copiar los metadatos SAML del proveedor de servicios en Unified Access Gateway en la Guía de implementación y configuración de VMware Unified Access Gateway en VMware Docs.
    7. Guarde la configuración del proveedor de servicios SAML.