Utilice este flujo de trabajo para sustituir el certificado SSL que se encuentra en cualquier tipo de configuración de puerta de enlace que se implemente en el pod. También puede utilizar este flujo de trabajo para sustituir el nombre de dominio completo (FQDN) que está configurado en la puerta de enlace, si es necesario. Una posible razón para sustituir el certificado SSL es cuando el certificado SSL que se encuentra actualmente en la configuración de la puerta de enlace está a punto de caducar. Siga estos pasos con el asistente Editar pod en Horizon Universal Console.

Importante: Si se encuentra en este caso práctico:

A continuación, hay un conjunto diferente de pasos que se deben seguir para ese caso práctico. No siga los pasos que se indican a continuación si su caso práctico está relacionado con la integración de Workspace ONE Access Connector con los pods. Estos pasos son totalmente diferentes a los que se muestran a continuación. Para obtener una descripción general de la integración de Workspace ONE Access Connector y sus necesidades, consulte Entorno de Horizon Cloud con brokering de pod único: Pasos para configurar un pod de Horizon Cloud en Microsoft Azure con la información relevante del tenant de Workspace ONE Access. Además, si su implementación es un escenario inusual poco habitual en el que los clientes y el navegador de los usuarios finales se conectan directamente a los dispositivos del administrador de pods, no siga los pasos que se indican a continuación para sustituir el certificado SSL que se utiliza en estos casos excepcionales. Para obtener una descripción de la configuración de certificados que se aplica en el caso práctico de Workspace ONE Access Connector y en el caso de uso atípico, inusual, alternativamente lea Descripción general de la configuración de certificados SSL en las máquinas virtuales del administrador de pods de Horizon Cloud, principalmente para su uso por parte de Workspace ONE Access Connector con pods en un entorno de agente de pod único.

Cuando haya transcurrido tiempo desde que las puertas de enlace del pod se implementaron por primera vez para el pod, es posible que tenga que sustituir los certificados SSL que están configurados en las puertas de enlace del pod o sustituir el FQDN que está configurado en las puertas de enlace, o ambos. Por lo general, se proporciona a los usuarios finales un FQDN que se utilizará en el cliente o el navegador de Horizon Client con el fin de acceder a los recursos aprovisionados por el pod. Como se describe en los temas Iniciar sesión en escritorios y aplicaciones remotas basadas en RDS usando un navegador y Iniciar sesión en escritorios o aplicaciones remotas basadas en RDS mediante Horizon Client, algunos usuarios finales abren un navegador y escriben el FQDN, mientras que otros pueden utilizar una instancia de Horizon Client. El certificado SSL que se configura en la puerta de enlace a la que se indica a los usuarios finales que dirijan sus clientes y navegadores permite que los clientes y el navegador confíen en las conexiones a dicha puerta de enlace. Tal como se describe en El pod de Horizon Cloud implementado, el pod puede tener una configuración de Unified Access Gateway externa, interna o ambas. En cada tipo de configuración de Unified Gateway, las instancias de Unified Access Gateway se configuran con el FQDN y la información del certificado SSL.

Es posible que desee sustituir el certificado SSL y el FQDN que están configurados en las puertas de enlace del pod por diversos motivos. Una razón puede ser que el certificado SSL local configurado en una puerta de enlace tenga una fecha de caducidad en su cadena de certificados, y que la fecha y hora correspondiente sea ya próxima. En esa situación, sería conveniente sustituir el certificado SSL antes de que llegue a la fecha de caducidad, para evitar problemas de confianza de los certificados en los navegadores o los clientes de los usuarios finales mientras intentan conectarse a la puerta de enlace. Otra razón para sustituir el certificado SSL es si se desea que los usuarios finales empiecen a utilizar un FQDN diferente en sus clientes y navegadores. Dado que el certificado SSL se coloca conjuntamente con un FQDN, cuando se desea cambiar el FQDN por otro, por lo general, se reemplaza el certificado SSL por uno que se basa en el nuevo FQDN.

Nota: Durante el tiempo en que el sistema cambia la configuración, los usuarios finales con sesiones conectadas que se procesan en el pod tendrán las sesiones activas desconectadas. No se producirá pérdida de datos. Una vez finalizados los cambios de configuración, esos usuarios pueden volver a conectarse.

Requisitos previos

Para completar este flujo de trabajo, debe tener en cuenta lo siguiente:

  • El certificado SSL de sustitución que cumple los siguientes criterios. Ese certificado debe utilizar el FQDN que se va a utilizar en sus clientes y navegadores para conectarse a la puerta de enlace del pod y acceder a los recursos autorizados.
  • Un certificado de servidor SSL firmado (formato PEM) basado en dicho FQDN. Las funciones de Unified Access Gateway requieren SSL para las conexiones cliente, como se describe en la documentación del producto Unified Access Gateway. El certificado debe estar firmado por una entidad de certificación (CA) de confianza. El archivo PEM único debe contener la cadena de certificados completa con la clave privada. Por ejemplo, el archivo PEM único debe contener el certificado de servidor SSL, los certificados de CA intermedios que sean necesarios, el certificado de CA raíz y la clave privada. OpenSSL es una herramienta que puede utilizar para crear el archivo PEM.
    Importante: Todos los certificados de la cadena de certificados deben tener intervalos de tiempo válidos. Las máquinas virtuales de Unified Access Gateway requieren que todos los certificados de la cadena, incluidos los certificados intermedios, tengan plazos válidos. Si no ha caducado ningún certificado de la cadena, se pueden producir errores inesperados más adelante al cargar el certificado en la configuración de Unified Access Gateway.
  • El FQDN que corresponde a este certificado SSL. Este FQDN es el que se utiliza en los navegadores y los clientes de los usuarios finales para conectarse a la puerta de enlace del pod. Si su motivo para sustituir el certificado SSL es evitar problemas de fecha de caducidad en los clientes de los usuarios, es probable que retenga el mismo FQDN que ya está configurado en la puerta de enlace, que se mostrará en el asistente. Si también está cambiando el FQDN por uno nuevo, debe tener uno que sea único para este pod. No se puede volver a utilizar un FQDN que ya se haya configurado para los otros pods.
    Importante: Este FQDN no puede contener caracteres de subrayado. En esta versión, se generará un error con las conexiones a las instancias de Unified Access Gateway cuando el FQDN contenga caracteres de subrayado.

Procedimiento

  1. En la consola, vaya a Configuración > Capacidad y haga clic en el nombre del pod para abrir su página de detalles.
  2. En la página de detalles del pod, haga clic en Editar.
  3. En la ventana Editar pod, haga clic en Siguiente para continuar con el paso Configuración de puerta de enlace.
  4. En función de los cambios que necesite realizar en la configuración de la puerta de enlace, complete el paso correspondiente, ya sea en la sección UAG externa o en la sección UAG interna.
    1. Sustituya el valor de FQDN por uno nuevo.
    2. Sustituya el certificado SSL haciendo clic en Cambiar para cargar el nuevo certificado.
      Cargue el certificado en formato PEM que Unified Access Gateway usará para admitir que los clientes confíen en conexiones con instancias de Unified Access Gateway que se ejecuten en Microsoft Azure. El certificado debe basarse en el FQDN especificado y estar firmado por una entidad de certificación de confianza.
  5. Haga clic en Guardar y salir.
    Se muestra un mensaje de confirmación que indica que se interrumpen las conexiones de usuario existentes al actualizar el FQDN o el certificado, y el sistema solicita que se confirme el inicio del flujo de trabajo.
  6. Haga clic en para iniciar el flujo de trabajo.
    Importante: Si alguno de los certificados de la cadena de certificados ha caducado, el estado de actualización se mostrará como Error de actualización. Si ve esto, compruebe el archivo de certificado y verifique que los todos los certificados tengan plazos válidos.

Qué hacer a continuación

Sea cual sea la configuración Unified Access Gateway que ha cambiado, si cambió a un FQDN diferente al anterior, asegúrese de actualizar el registro CNAME en el servidor DNS para asignar el FQDN del equilibrador de carga de la configuración al nuevo FQDN. Consulte los detalles en Cómo obtener la información del equilibrador de carga de puerta de enlace del pod de Horizon Cloud para asignarlo en el servidor DNS.