Seleccionar el tipo de certificado correcto

Puede usar varios tipos de certificados TLS en Horizon 8. Es muy importante seleccionar el tipo de certificado adecuado para la implementación. Los distintos tipos de certificado tienen un costo diferente, según el número de servidores en los que se puedan utilizar.

Siga las recomendaciones de seguridad de VMware y utilice nombres de dominio plenamente cualificados (FQDN) para sus certificados, independientemente del tipo seleccionado. No utilice un simple nombre de servidor o dirección IP, ni siquiera para comunicaciones dentro de su dominio interno.

Certificado de nombre de servidor único

Es posible generar un certificado con un nombre de sujeto para un servidor específico. Por ejemplo: dept.company.com.

Este tipo de certificado resulta útil si, por ejemplo, solo una instancia de Connection Server necesita un certificado.

Al enviar una solicitud de firma de certificado a una autoridad de certificación, se proporciona el nombre del servidor que se asociará al certificado. Asegúrese de que el servidor de Horizon 8 pueda resolver el nombre de servidor que proporcione, de manera que coincida con el nombre asociado al certificado.

Nombres alternativos de sujeto

Un nombre alternativo de sujeto (SAN) es un atributo que se puede agregar a un certificado en el momento de su emisión. Este atributo se utiliza para agregar nombres de sujeto (URL) a un certificado, para que pueda validar más de un servidor.

Por ejemplo, se puede emitir un certificado para un servidor con el nombre de host dept.company.com. Los usuarios externos que se conecten a Horizon 8 mediante Connection Server deben utilizar el certificado. Antes de que se emita el certificado, puede agregar el SAN dept-int.company.com al certificado para permitir que el certificado se use en las instancias de Connection Server que se encuentran tras un equilibrador de carga cuando el túnel está habilitado.

Certificado comodín

Un certificado comodín se genera para que se pueda utilizar en varios servicios. Por ejemplo: *.company.com.

Un comodín es útil si muchos servidores necesitan un certificado. Si otras aplicaciones de su entorno, además de Horizon 8, necesitan certificados TLS, también puede utilizar un certificado comodín para esos servidores. No obstante, si utiliza un certificado comodín compartido con otros servicios, la seguridad del producto VMware Horizon 8 dependerá también de la seguridad de esos otros servicios.

Nota: Solo se puede utilizar un certificado comodín en un único nivel de dominio. Por ejemplo, un certificado comodín con el Nombre del asunto *.company.com se puede utilizar para el subdominio dept.company.com, pero no para dept.it.company.com.