Vous devez configurer les certificats TLS/SSL pour les dispositifs Unified Access Gateway. TLS/SSL est requis pour les connexions client à des dispositifs Unified Access Gateway. Les dispositifs face au client Unified Access Gateway et les serveurs intermédiaires qui mettent fin aux connexions TLS/SSL requièrent des certificats de serveur TLS/SSL.

Les certificats de serveur TLS/SSL sont signés par une autorité de certification. Une autorité de certification est une entité approuvée qui garantit l'identité du certificat et de son créateur. Lorsque le certificat est signé par une autorité de certification approuvée, les utilisateurs ne reçoivent plus de messages leur demandant de vérifier le certificat, et les périphériques de client léger peuvent se connecter sans demander de configuration supplémentaire.

Note : La configuration des certificats TLS/SSL pour le dispositif Unified Access Gateway s'applique à Horizon et au proxy inverse Web uniquement.

Un certificat de serveur TLS/SSL par défaut est généré lorsque vous déployez un dispositif Unified Access Gateway. Pour les environnements de production, VMware vous recommande fortement de remplacer le certificat par défaut dès que possible. Le certificat par défaut n'est pas signé par une autorité de certification approuvée. Utilisez le certificat par défaut uniquement dans un environnement hors production.

VMware recommande d'utiliser un certificat basé sur une clé RSA pour le serveur TLS. Le certificat et la clé privée peuvent être fournis en tant que keystore PKCS12/PFX ou en tant que fichiers de clé privée et de chaîne de certificats distincts au format PEM.

Pour convertir un PKCS12/PFX en fichier de chaîne de certificats au format PEM, exécutez la commande openssl suivante : 
openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercert.pem
Pour convertir un PKCS12/PFX en fichier de clé privé au format PEM, exécutez la commande openssl suivante : 
openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pem
Lorsque vous fournissez le certificat et la clé au format PEM, la clé privée doit être au format PKCS1. Pour convertir la clé privée de PKCS8 en PKCS1, c'est-à-dire d'un format BEGIN PRIVATE KEY à un format BEGIN RSA PRIVATE KEY, exécutez la commande openssl suivante : 
openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem

Paramètres du certificat de serveur TLS dans l'interface utilisateur d'administration

  1. Dans la section Configurer manuellement de la console l'administration d'UAG, cliquez sur Sélectionner.
  2. Dans la section Paramètres avancés > Paramètres du pontage d'identité, sélectionnez l'icône d'engrenage Paramètres du certificat de serveur TLS.

    Les détails des certificats d'administrateur et Internet s'affichent.

  3. Cliquez sur l'icône d'engrenage pour modifier le certificat.
  4. Sélectionnez l'interface pour appliquer le certificat, l'administrateur, Internet ou les deux.
  5. Sélectionnez le type de certificat, PEM ou PFX

    Pour PEM, sélectionnez la clé privée et la chaîne de certificats.

    Pour PFX, sélectionnez le certificat PFX à charger et entrez le mot de passe PFX et l'alias.

  6. Cliquez sur Enregistrer.