Sélection du type de certificat correct

Vous pouvez utiliser divers types de certificats TLS/SSL avec Unified Access Gateway. La sélection du type de certificat correct pour votre déploiement est cruciale. Les types de certificat ont des coûts différents, en fonction du nombre de serveurs sur lesquels ils peuvent être utilisés.

Suivez les recommandations de sécurité de VMware en utilisant des noms de domaine complets (FQDN) pour vos certificats, quel que soit le type que vous sélectionnez. N'utilisez pas un nom de serveur simple ou une adresse IP, même pour les communications effectuées à l'intérieur de votre domaine interne.

Certificat de nom de serveur unique

Vous pouvez générer un certificat avec un nom d'objet pour un serveur spécifique. Par exemple : dept.example.com.

Ce type de certificat est utile si, par exemple, un seul dispositif Unified Access Gateway a besoin d'un certificat.

Lorsque vous soumettez une demande de signature de certificat à une autorité de certification, fournissez le nom de serveur à associer au certificat. Vérifiez que le dispositif Unified Access Gateway peut résoudre le nom de serveur que vous fournissez pour qu'il corresponde au nom associé au certificat.

Autres noms de l'objet

Un autre nom de l'objet (SAN) est un attribut pouvant être ajouté à un certificat lors de son émission. Vous utilisez cet attribut pour ajouter des noms d'objet (URL) à un certificat pour qu'il puisse valider plusieurs serveurs.

Par exemple, trois certificats peuvent être émis pour les dispositifs Unified Access Gateway qui se trouvent derrière un équilibrage de charge : ap1.example.com, ap2.example.com et ap3.example.com. En ajoutant un autre nom de l'objet qui représente le nom d'hôte de l'équilibrage de charge, tel que horizon.example.com dans cet exemple, le certificat est valide, car il correspond au nom d'hôte spécifié par le client.

Lorsque vous soumettez une demande de signature de certificat à une autorité de certification, fournissez l'adresse IP virtuelle (VIP) d'équilibrage de charge d'interface externe comme nom commun et le nom du SAN. Vérifiez que le dispositif Unified Access Gateway peut résoudre le nom de serveur que vous fournissez pour qu'il corresponde au nom associé au certificat.

Le certificat est utilisé sur le port 443.

Certificat de caractère générique

Un certificat de caractère générique est généré pour pouvoir être utilisé pour plusieurs services. Par exemple : *.example.com.

Un certificat de caractère générique est utile si plusieurs serveurs ont besoin d'un certificat. Si d'autres applications dans votre environnement en plus des dispositifs Unified Access Gateway ont besoin de certificats TLS/SSL, vous pouvez utiliser un certificat de caractère générique pour ces serveurs. Toutefois, si vous utilisez un certificat de caractère générique partagé avec d'autres services, la sécurité du produit VMware Horizon dépend également de la sécurité de ces autres services.

Note : Vous ne pouvez utiliser un certificat de caractère générique que sur un seul niveau de domaine. Par exemple, un certificat de caractère générique avec le nom d'objet *.example.com peut être utilisé pour le sous-domaine dept.example.com, mais pas dept.it.example.com.

Les certificats que vous importez dans le dispositif Unified Access Gateway doivent être approuvés par des machines clientes et doivent également être applicables à toutes les instances d'Unified Access Gateway et à tout équilibrage de charge, en utilisant des certificats de caractère générique ou des certificats avec l'autre nom de l'objet (SAN).