Unified Access Gateway permite el uso de varios tipos de certificado TLS/SSL. Es crucial seleccionar el tipo de certificado correcto para la implementación. Los distintos tipos de certificado tienen un costo diferente, según el número de servidores en los que se puedan utilizar.
Siga las recomendaciones de seguridad de VMware y utilice nombres de dominio plenamente cualificados (FQDN) para sus certificados, independientemente del tipo seleccionado. No utilice un simple nombre de servidor o dirección IP, ni siquiera para comunicaciones dentro de su dominio interno.
Certificado con un nombre único para el servidor
Es posible generar un certificado con un nombre de sujeto para un servidor específico. Por ejemplo, dept.ejemplo.com.
Este tipo de certificado resulta útil si, por ejemplo, solo se necesita un certificado para un dispositivo de Unified Access Gateway.
Al enviar una solicitud de firma del certificado a una entidad de certificación, proporcione el nombre del servidor que desea asociar al certificado. Asegúrese de que el dispositivo de Unified Access Gateway pueda resolver el nombre de servidor que proporcione de manera que coincida con el nombre asociado al certificado.
Nombres alternativos de sujeto
Un nombre alternativo de sujeto (SAN) es un atributo que se puede agregar a un certificado en el momento de su emisión. Este atributo se utiliza para agregar nombres de sujeto (URL) a un certificado, para que pueda validar más de un servidor.
Por ejemplo, se pueden emitir tres certificados para los dispositivos de Unified Access Gateway que se encuentran detrás de un equilibrador de carga: ap1.ejemplo.com, ap2.ejemplo.com y ap3.ejemplo.com. Al agregar un nombre alternativo del sujeto que representa el nombre de host del equilibrador de carga, como horizon.ejemplo.com en este ejemplo, el certificado es válido porque coincide con el nombre de host especificado por el cliente.
Cuando envía una solicitud de firma del certificado a un proveedor de CA, proporcione la dirección IP virtual (VIP) del equilibrador de carga de la interfaz externa y el nombre SAN. Asegúrese de que el dispositivo de Unified Access Gateway pueda resolver el nombre de servidor que proporcione de manera que coincida con el nombre asociado al certificado.
El certificado se usa en el puerto 443.
Certificado comodín
Un certificado comodín se genera para que se pueda utilizar en varios servicios. Por ejemplo: *.ejemplo.com.
Un comodín es útil si muchos servidores necesitan un certificado. Si otras aplicaciones de su entorno, además de los dispositivos de Unified Access Gateway, necesitan certificados TLS/SSL, también puede utilizar un certificado comodín para esos servidores. No obstante, si utiliza un certificado comodín compartido con otros servicios, la seguridad del producto VMware Horizon dependerá también de la seguridad de esos otros servicios.
Solo se puede utilizar un certificado comodín en un único nivel de dominio. Por ejemplo, un certificado comodín con el nombre de sujeto *.ejemplo.com se puede utilizar para el subdominio dept.ejemplo.com pero no para dept.it.ejemplo.com.
Los certificados que se importan al dispositivo de Unified Access Gateway deben ser de confianza para los equipos cliente y se deben poder aplicar también a todas las instancias de Unified Access Gateway y a cualquier equilibrador de carga, ya sea mediante el uso de comodines o mediante certificados de nombre alternativo del sujeto (SAN).
