TLS/SSL est requis pour les connexions client à des dispositifs Unified Access Gateway. Les dispositifs face au client Unified Access Gateway et les serveurs intermédiaires qui mettent fin aux connexions TLS/SSL requièrent des certificats de serveur TLS/SSL.
Les certificats de serveur TLS/SSL sont signés par une autorité de certification. Une autorité de certification est une entité approuvée qui garantit l'identité du certificat et de son créateur. Lorsque le certificat est signé par une autorité de certification approuvée, les utilisateurs ne reçoivent plus de messages leur demandant de vérifier le certificat, et les périphériques de client léger peuvent se connecter sans demander de configuration supplémentaire.
Un certificat de serveur TLS/SSL par défaut est généré lorsque vous déployez un dispositif Unified Access Gateway. Pour les environnements de production, VMware vous recommande fortement de remplacer le certificat par défaut dès que possible. Le certificat par défaut n'est pas signé par une autorité de certification approuvée. Utilisez le certificat par défaut uniquement dans un environnement hors production.
VMware recommande d'utiliser un certificat basé sur une clé RSA pour le serveur TLS. Le certificat et la clé privée peuvent être fournis en tant que keystore PKCS12/PFX ou en tant que fichiers de clé privée et de chaîne de certificats distincts au format PEM.
openssl
suivante :
openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercert.pemPour convertir un PKCS12/PFX en fichier de clé privé au format PEM, exécutez la commande
openssl
suivante :
openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pemLorsque vous fournissez le certificat et la clé au format PEM, la clé privée doit être au format PKCS1. Pour convertir la clé privée de PKCS8 en PKCS1, c'est-à-dire d'un format BEGIN PRIVATE KEY à un format BEGIN RSA PRIVATE KEY, exécutez la commande
openssl
suivante :
openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem