Pour stocker un certificat de serveur TLS/SSL signé par une autorité de certification approuvée sur le dispositif Unified Access Gateway, vous devez convertir le certificat au bon format et utiliser l'interface utilisateur d'administration ou les scripts PowerShell pour configurer le certificat.

Pour les environnements de production, VMware vous recommande de remplacer le certificat par défaut dès que possible. Le certificat de serveur TLS/SSL par défaut qui est généré lorsque vous déployez un dispositif Unified Access Gateway n'est pas signé par une autorité de certification approuvée.
Important : Utilisez également cette procédure pour remplacer périodiquement un certificat qui a été signé par une autorité de certification approuvée avant que le certificat expire, ce qui peut se produire tous les deux ans.

Cette procédure décrit comment utiliser l'API REST pour remplacer le certificat.

Conditions préalables

  • Sauf si vous disposez déjà d'un certificat de serveur TLS/SSL valide et de sa clé privée, obtenez un nouveau certificat signé auprès d'une autorité de certification. Lorsque vous générez une demande de signature de certificat (CSR) pour obtenir un certificat, vérifiez qu'une clé privée est également générée. Ne générez pas de certificats pour des serveurs à l'aide d'une valeur KeyLength inférieure à 1 024.

    Pour générer la CSR, vous devez connaître le nom de domaine complet (FQDN) que les périphériques client utiliseront pour se connecter au dispositif Unified Access Gateway, ainsi que l'unité d'organisation, l'entreprise, la ville, l'état et le pays pour remplir le nom de l'objet.

  • Convertissez le certificat en fichiers au format PEM et convertissez les fichiers .pem au format sur une seule ligne. Reportez-vous à la section Convertir des fichiers de certificat au format PEM sur une ligne.

Procédure

  1. Dans la section Configurer manuellement de l'interface utilisateur d'administration, cliquez sur Sélectionner.
  2. Dans Paramètres avancés > Paramètres du certificat de serveur TLS, cliquez sur l'icône d'engrenage.
  3. Cliquez sur Sélectionner pour la clé privée et accédez au fichier de clé privée. Cliquez sur Ouvrir pour télécharger le fichier.
  4. Cliquez sur Sélectionner pour la chaîne de certificats et accédez au fichier de certificat. Cliquez sur Ouvrir pour télécharger le fichier.
  5. Cliquez sur Enregistrer.
    Si le certificat est accepté, un message de réussite s'affiche.

Que faire ensuite

Si l'autorité de certification qui a signé le certificat n'est pas reconnue, configurez les clients pour qu'ils approuvent les certificats racine et intermédiaires.