Configure el proxy de VMware Tunnel mediante el asistente de configuración. Las opciones configuradas en el asistente se empaquetan en el programa de instalación, que puede descargarse desde la consola de Workspace ONE UEM y moverse a los servidores de Tunnel.

Configure el proxy de VMware Tunnel en UEM Console desde Grupos y configuración > Todos los ajustes > Sistema > Integración empresarial > VMware Tunnel > Proxy. El asistente le guiará por la configuración del programa de instalación, paso a paso. Las opciones configuradas en el asistente se empaquetan en el programa de instalación, que puede descargarse desde la consola de Workspace ONE UEM y moverse a los servidores de Tunnel. Para cambiar los detalles de este asistente, normalmente se requiere volver a instalar VMware Tunnel con la configuración nueva.

Para configurar el proxy de VMware Tunnel, se necesitan los detalles del servidor en el que se va a realizar la instalación. Antes de la configuración, determine el modelo de implementación, uno o varios nombres de host y puertos y las funciones de VMware Tunnel se deben implementar, como la integración del registro de acceso, la descarga de SSL, la integración de la entidad de certificación empresarial, etc.
Nota: El asistente muestra de forma dinámica las opciones adecuadas en función de las selecciones, ya que las pantallas de configuración pueden mostrar diferentes cuadros de texto y opciones.

Procedimiento

  1. Desplácese hasta Grupos y configuración > Todos los ajustes > Sistema > Integración empresarial > VMware Tunnel > Proxy.
    • Si es la primera vez que configura VMware Tunnel, seleccione Configurar y siga las pantallas del asistente de configuración.
    • Si no es la primera vez que configura VMwareTunnel, seleccione Reemplazar, posteriormente seleccione el conmutador de opción Habilitado VMware Tunnel, a continuación, seleccione Configurar.
  2. En la pantalla Tipo de implementación, seleccione el conmutador de opción Habilitar Proxy (Windows y Linux) y, a continuación, seleccione los componentes que desea configurar usando el menú desplegable Tipo de configuración de proxy.
  3. En los menús desplegables que aparecen, seleccione si va a configurar un Endpoint de retransmisión o una implementación del Tipo de configuración del proxy. Seleccione el icono de información para ver un ejemplo del tipo seleccionado.
  4. Seleccione Siguiente.
  5. En la pantalla Detalles, configure los ajustes siguientes. Los ajustes que se muestran en la pantalla Detalles dependen del tipo de configuración seleccionado en el menú desplegable Tipo de configuración de proxy.
    • Para el Tipo de configuración de proxy Básico, introduzca la siguiente información:
    Configuración Descripción
    Nombre de host Introduzca el FQDN del nombre de host público para el servidor de Tunnel, por ejemplo, tunnel.acmemdm.com. Este nombre de host debe estar disponible públicamente, ya que es el DNS al que se conectan los dispositivos desde Internet.
    Puerto de retransmisión El servicio de proxy está instalado en este puerto. Los dispositivos se conectan a <nombre_host_retransmisión>:<puerto> para usar la función de proxy de VMware Tunnel. El valor predeterminado es 2020.
    Nombre del host de retransmisión (Solo endpoint de retransmisión). Introduzca el FQDN del nombre de host público para el servidor de retransmisión de Tunnel, por ejemplo, tunnel.acmemdm.com. Este nombre de host debe estar disponible públicamente, ya que es el DNS al que se conectan los dispositivos desde Internet.
    Habilitar la descarga de SSL Seleccione esta casilla de verificación si desea utilizar la descarga de SSL para aliviar la carga de cifrar y descifrar el tráfico del servidor de VMware Tunnel.
    Usar el proxy Kerberos

    Habilite la compatibilidad con el proxy Kerberos para permitir el acceso a la autenticación Kerberos para los servicios web back-end de destino. Actualmente, esta función no es compatible con la delegación limitada de Kerberos (KCD). Para obtener más información, consulte el tema sobre cómo Configurar los ajustes del proxy Kerberos.

    El servidor de endpoint debe estar en el mismo dominio que KDC para que el proxy Kerberos se comunique correctamente con KDC.

    • Si elige el Tipo de configuración de proxy Endpoint de retransmisión, introduzca la siguiente información:
    Configuración Descripción
    Nombre del host de retransmisión (Solo endpoint de retransmisión). Introduzca el FQDN del nombre de host público para el servidor de retransmisión de Tunnel, por ejemplo, tunnel.acmemdm.com. Este nombre de host debe estar disponible públicamente, ya que es el DNS al que se conectan los dispositivos desde Internet.
    Nombre del host de endpoint

    El DNS interno del servidor de endpoint de Tunnel. Este valor es el nombre de host al que se conecta el servidor de retransmisión en el puerto del endpoint de retransmisión. Si tiene previsto instalar VMware Tunnel en un servidor de descarga de SSL, introduzca el nombre de ese servidor en lugar del Nombre de host.

    Cuando introduzca Nombre de host, no incluya un protocolo, como http://, https://, etc.

    Puerto de retransmisión El servicio de proxy está instalado en este puerto. Los dispositivos se conectan a <nombre_host_retransmisión>:<puerto> para usar la función de proxy de VMware Tunnel. El valor predeterminado es 2020.
    Puerto del endpoint

    (Solo endpoint de retransmisión). Este valor es el puerto que se utiliza para la comunicación entre la retransmisión de VMware Tunnel y el endpoint de VMware Tunnel. El valor predeterminado es 2010.

    Si utiliza una combinación de proxy y túnel por aplicación, el terminal del endpoint de retransmisión se instala como parte del servidor front-end para el modo en cascada. Los puertos deben tener valores diferentes.

    Habilitar la descarga de SSL Seleccione esta casilla de verificación si desea utilizar la descarga de SSL para aliviar la carga de cifrar y descifrar el tráfico del servidor de VMware Tunnel.
    Usar el proxy Kerberos

    Habilite la compatibilidad con el proxy Kerberos para permitir el acceso a la autenticación Kerberos para los servicios web back-end de destino. Actualmente, esta función no es compatible con la delegación limitada de Kerberos (KCD). Para obtener más información, consulte el tema sobre cómo Configurar los ajustes del proxy Kerberos.

    El servidor de endpoint debe estar en el mismo dominio que KDC para que el proxy Kerberos se comunique correctamente con KDC.

    En el campo Dominio, introduzca el dominio del servidor KDC.

  6. Seleccione Siguiente.
  7. En la pantalla SSL, puede configurar el certificado SSL público que protege la comunicación entre el cliente y el servidor de la aplicación habilitada en un dispositivo a VMware Tunnel. De forma predeterminada, esta configuración utiliza un certificado de AirWatch para una comunicación segura entre el servidor y el cliente.
    1. Seleccione la opción Utilizar certificado público de SSL si prefiere utilizar un certificado SSL de terceros para el cifrado entre Workspace ONE Web o las aplicaciones compatibles con el SDK y el servidor de VMware Tunnel.
    2. Seleccione Cargar para cargar un archivo de certificado .PFX o .P12 e introduzca la contraseña. Este archivo debe contener el par de claves pública y privada. No se admiten archivos CER ni CRT.
  8. Seleccione Siguiente.
  9. En la pantalla de Autenticación, configure los ajustes siguientes para seleccionar los certificados que los dispositivos usan para autenticarse en VMware Tunnel.
    De forma predeterminada, todos los componentes utilizan certificados emitidos por AirWatch. Para utilizar certificados de CA empresarial para la autenticación cliente-servidor, seleccione la opción CA empresarial.
    1. Seleccione Predeterminado para utilizar los certificados emitidos por AirWatch. El certificado de cliente predeterminado emitido por AirWatch no se renueva automáticamente. Para renovar estos certificados, vuelva a publicar el perfil de VPN en los dispositivos que tengan un certificado de cliente caducado o caducado. Para ver el estado del certificado de un dispositivo, desplácese hasta Dispositivos > Detalles del dispositivo > Más > Certificados.
    2. Seleccione CA empresarial en lugar de los certificados emitidos por AirWatch para la autenticación entre las aplicaciones de Workspace ONE Web, compatibles con el túnel por aplicación o compatibles con el SDK, y VMware Tunnel requiere que haya una entidad de certificación y una plantilla de certificado configuradas en el entorno de Workspace ONE UEM antes de configurar VMware Tunnel.
    3. Seleccione la Entidad de certificación y la Plantilla de certificado que se usan para solicitar un certificado de la CA.
    4. Seleccione Cargar para cargar la cadena completa de la clave pública de la entidad de certificación en el asistente de configuración.

      La plantilla de CA debe contener CN=UDID en el nombre del asunto. Las CA compatibles son ADCS, RSA y SCEP.

      Los certificados se renuevan automáticamente en función de la configuración de la plantilla de CA.

  10. Haga clic en Agregar para agregar un certificado intermedio.
  11. Seleccione Siguiente.
  12. En la pantalla Varios, puede habilitar los registros de acceso para los componentes de túnel por aplicación o de proxy. Habilite el conmutador de opción Registros de acceso para configurar la función.

    Si pretende usar esta función, debe configurarla ahora como parte de la configuración, ya que no se puede habilitar posteriormente sin volver a configurar Tunnel y volver a ejecutar el programa de instalación. Para obtener más información sobre esta configuración, consulte #GUID-AWT-ACCESSLOGS y Configurar los ajustes avanzados de VMware Tunnel.

    1. Introduzca la URL del host de syslog en el campo Nombre de host de syslog. Esta opción se muestra después de habilitar los registros de acceso.
    2. Introduzca el puerto en el que desea comunicarse con el host de syslog en el campo Puerto UDP.
  13. Seleccione Siguiente, revise el resumen de la configuración, confirme que todos los nombres de host, los puertos y la configuración son correctos, y seleccione Guardar.
    El programa de instalación ya está listo para descargarse en la pantalla VMware Tunnel Configuración.
  14. En la pantalla Configuración, seleccione la pestaña General. La pestaña General permite hacer lo siguiente:
    1. Puede seleccionar Probar conexión para comprobar la conectividad.
    2. Puede seleccionar Descargar XML de configuración para recuperar la configuración de la instancia de VMware Tunnel existente como un archivo XML.
    3. Puede seleccionar el hipervínculo Descargar Unified Access Gateway. Este botón descarga el archivo OVA no FIPS. El archivo de descarga también incluye el script de PowerShell y el archivo de plantilla .ini para el método de implementación de PowerShell. Debe descargar el archivo OVA FIPS o VHDX desde My Workspace ONE.
    4. Para los métodos del programa de instalación heredado, puede seleccionar Descargar Windows Installer.
      Este botón descarga un único archivo BIN utilizado para implementar el servidor de VMware Tunnel. El archivo XML de configuración necesario para la instalación se puede descargar desde la consola de Workspace ONE UEM después de confirmar la contraseña del certificado.
  15. Seleccione Guardar.