Configurez le proxy VMware Tunnel à l'aide de l'assistant de configuration. Les options configurées dans l'assistant sont modularisées dans le programme d'installation, que vous pouvez télécharger depuis Workspace ONE UEM Console et déplacer vers vos serveurs de tunnel.

Configurez le proxy VMware Tunnel dans UEM Console sous Groupes et paramètres > Tous les paramètres > Système > Intégration d'entreprise > VMware Tunnel > Proxy. L'assistant vous guide pas à pas à travers la configuration du programme d'installation. Les options configurées dans l'assistant sont modularisées dans le programme d'installation, que vous pouvez télécharger depuis Workspace ONE UEM Console et déplacer vers vos serveurs de tunnel. La modification des détails de cet assistant nécessite généralement une réinstallation de VMware Tunnel avec la nouvelle configuration.

Pour configurer le proxy VMware Tunnel, il vous faut les détails du serveur sur lequel vous prévoyez d'effectuer l'installation. Avant la configuration, déterminez le modèle de déploiement, les noms d'hôte et les ports, ainsi que les fonctionnalités de VMware Tunnel à implémenter. Vous pouvez envisager de modifier l'intégration du journal d'accès, le déchargement SSL, l'intégration de l'autorité de certification d'entreprise, etc.
Note : L'assistant affiche dynamiquement les options appropriées selon vos sélections. Les écrans de configuration peuvent afficher des zones de texte et des options différentes.

Procédure

  1. Accédez à Groupes et paramètres > Tous les paramètres > Système > Intégration d'entreprise > VMware Tunnel > Proxy.
    • S'il s'agit d'une première configuration de VMware Tunnel, sélectionnez Configurer et suivez les écrans de l'assistant de configuration.
    • Si vous configurez VMwareTunnel pour la première fois, sélectionnez Remplacer, puis le bouton bascule VMware Tunnel Activé et enfin Configurer.
      Note : Le remplacement des paramètres de proxy de VMware Tunnel ne remplace pas les paramètres de configuration de VMware Tunnel.
  2. Dans l'écran Type de déploiement, sélectionnez le bouton bascule Activer le proxy (Windows et Linux), puis sélectionnez les composants à configurer à l'aide du menu déroulant Type de configuration du proxy.
  3. Dans les menus déroulants qui s'affichent, indiquez si vous configurez un Point de terminaison relais ou le déploiement du Type de configuration du proxy. Pour afficher un exemple du type sélectionné, sélectionnez l'icône d'informations.
  4. Sélectionnez Suivant.
  5. Dans l'écran Détails, configurez les paramètres suivants. Les options affichées dans l'écran Détails dépendent du type de configuration que vous avez sélectionné dans le menu déroulant Type de configuration du proxy.
    • Type de configuration du proxy de base, entrez les informations suivantes :
    Paramètre Description
    Nom d'hôte Entrez le nom de domaine complet du nom d'hôte public pour le serveur de tunnel, par exemple, tunnel.acmemdm.com. Ce nom d'hôte doit être disponible publiquement, car il s'agit du DNS auquel les terminaux se connectent depuis Internet.
    Port de relais Le service de proxy est installé sur ce port. Les terminaux se connectent à <relayhostname>:<port> pour utiliser la fonctionnalité du proxy VMware Tunnel. La valeur par défaut est 2020.
    Nom d'hôte relais (Point de terminaison relais uniquement). Entrez le nom de domaine complet du nom d'hôte public du serveur relais de tunnel, par exemple, tunnel.acmemdm.com. Ce nom d'hôte doit être disponible publiquement, car il s'agit du DNS auquel les terminaux se connectent depuis Internet.
    Activer le déchargement SSL Cochez cette case pour utiliser le déchargement SSL afin d'alléger la charge de chiffrement et de déchiffrement du trafic à partir du serveur VMware Tunnel.
    Utiliser le proxy Kerberos

    Pour autoriser l'accès à l'authentification Kerberos pour vos services Web principaux de la cible, sélectionnez la prise en charge du proxy Kerberos. Cette fonctionnalité ne prend actuellement pas en charge la délégation contrainte de Kerberos (KCD, Kerberos Constrained Delegation). Pour plus d'informations, consultez la section Configurer les paramètres du proxy Kerberos.

    Le serveur de point de terminaison doit se trouver sur le même domaine que le centre de distribution de clés (KDC, Key Distribution Center) pour que le proxy Kerberos communique avec le KDC.

    • Si vous choisissez Type de configuration du proxy du point de terminaison relais, entrez les informations suivantes :
    Paramètre Description
    Nom d'hôte relais (Point de terminaison relais uniquement). Entrez le nom de domaine complet du nom d'hôte public du serveur relais de tunnel, par exemple, tunnel.acmemdm.com. Ce nom d'hôte doit être disponible publiquement, car il s'agit du DNS auquel les terminaux se connectent depuis Internet.
    Nom d'hôte du point de terminaison

    DNS interne du serveur de point de terminaison du tunnel. Cette valeur est le nom d'hôte auquel le serveur de relais se connecte sur le port du point de terminaison relais. Si vous prévoyez d'installer VMware Tunnel sur un serveur déchargé SSL, entrez le nom de ce serveur à la place du nom d'hôte.

    Lorsque vous entrez le nom d'hôte, n'incluez pas un protocole, tel que http://, https://, etc.

    Port de relais Le service de proxy est installé sur ce port. Les terminaux se connectent à <relayhostname>:<port> pour utiliser la fonctionnalité du proxy VMware Tunnel. La valeur par défaut est 2020.
    Port de point de terminaison

    (Point de terminaison relais uniquement). Cette valeur est le port utilisé pour la communication entre le relais VMware Tunnel et le point de terminaison VMware Tunnel. La valeur par défaut est 2010.

    Si vous utilisez une combinaison de proxy et de tunnel par application, le point de terminaison relais s'installe dans le cadre du serveur frontal pour le mode cascade. Les ports doivent utiliser des valeurs différentes.

    Activer le déchargement SSL Cochez cette case pour utiliser le déchargement SSL afin d'alléger la charge de chiffrement et de déchiffrement du trafic à partir du serveur VMware Tunnel.
    Utiliser le proxy Kerberos

    Pour autoriser l'accès à l'authentification Kerberos pour vos services Web principaux de la cible, sélectionnez la prise en charge du proxy Kerberos. Cette fonctionnalité ne prend actuellement pas en charge la délégation contrainte de Kerberos (KCD, Kerberos Constrained Delegation). Pour plus d'informations, consultez la section Configurer les paramètres du proxy Kerberos.

    Le serveur de point de terminaison doit se trouver sur le même domaine que le centre de distribution de clés (KDC, Key Distribution Center) pour que le proxy Kerberos communique avec le KDC.

    Dans la zone de texte Domaine, entrez le domaine du serveur KDC.

  6. Sélectionnez Suivant.
  7. Dans l'écran SSL, vous pouvez configurer le certificat SSL public qui sécurise la communication client-serveur de l'application activée sur un périphérique vers VMware Tunnel. Par défaut, cette configuration utilise un certificat AirWatch pour une communication serveur-client sécurisée.
    1. Sélectionnez l'option Utiliser le certificat SSL public si vous préférez utiliser un certificat SSL tiers pour le chiffrement entre Workspace ONE Web ou des applications activées pour le SDK et le serveur VMware Tunnel.
    2. Sélectionnez Télécharger pour télécharger un fichier de certificat .PFX ou .P12 et entrez le mot de passe. Ce fichier doit contenir votre paire de clés publique et privée. Les fichiers CER et CRT ne sont pas pris en charge.
  8. Sélectionnez Suivant.
  9. Dans l'écran Authentification, configurez les paramètres suivants pour sélectionner les certificats que les terminaux utilisent pour s'authentifier auprès de VMware Tunnel.
    Par défaut, tous les composants utilisent des certificats émis par AirWatch. Pour utiliser des certificats d'autorité de certification d'entreprise pour l'authentification client-serveur, sélectionnez l'option Autorité de certification d'entreprise.
    1. Sélectionnez Par défaut pour utiliser les certificats émis par AirWatch. Le certificat client émis par AirWatch par défaut n'est pas renouvelé automatiquement. Pour renouveler ces certificats, republiez le profil de VPN sur les périphériques dont le certificat client arrive à expiration ou est expiré. Affichez l'état du certificat d'un terminal en accédant à Terminaux > Détails du terminal > Plus > Certificats.
    2. Sélectionnez Autorité de certification d'entreprise à la place des certificats émis par AirWatch pour l'authentification entre Workspace ONE Web, les applications activées pour le tunnel par application ou les applications activées pour le SDK. VMware Tunnel exige qu'une autorité de certification et qu'un modèle de certificat soient configurés dans votre environnement Workspace ONE UEM avant de configurer VMware Tunnel.
    3. Sélectionnez les options Autorité de certification et Modèle de certificat qui permettent de demander un certificat auprès de l'autorité de certification.
    4. Sélectionnez Télécharger pour télécharger la chaîne complète de la clé de publique de votre autorité de certification vers l'assistant de configuration.

      Le modèle d'autorité de certification doit contenir CN=UDID dans le nom du sujet. Les autorités de certification prises en charge sont ADCS, RSA et SCEP.

      Renouvellement automatique des certificats en fonction des paramètres de votre modèle d'autorité de certification.

  10. Cliquez sur Ajouter pour ajouter un certificat intermédiaire.
  11. Sélectionnez Suivant.
  12. Dans l'écran Divers, vous pouvez utiliser les journaux d'accès pour les composants Proxy ou Tunnel par application. Activez le bouton bascule Journaux d'accès pour configurer la fonctionnalité.

    Si vous prévoyez d'utiliser cette fonctionnalité, vous devez la définir maintenant dans le cadre de la configuration, car vous ne pourrez pas l'activer ultérieurement sans reconfigurer le tunnel et réexécuter le programme d'installation. Pour plus d'informations sur ces paramètres, consultez les journaux d'accès et l'intégration Syslog, puis configurez les paramètres avancés de VMware Tunnel.

    1. Entrez l'URL de votre hôte Syslog dans le champ Nom d'hôte Syslog. Ce paramètre s'affiche après l'activation des journaux d'accès.
    2. Entrez le port sur lequel vous voulez communiquer avec l'hôte Syslog dans le champ Port UDP.
  13. Sélectionnez Suivant, examinez le résumé de votre configuration, confirmez que tous les noms d'hôte, les ports et les paramètres sont corrects et sélectionnez Enregistrer.
    Le programme d'installation est désormais téléchargeable dans l'écran VMware Tunnel Configuration.
  14. Dans l'écran Configuration, sélectionnez l'onglet Général. L'onglet Général permet d'effectuer les opérations suivantes :
    1. Vous pouvez sélectionner Tester la connexion pour vérifier la connectivité.
    2. Vous pouvez sélectionner Télécharger le fichier XML de configuration pour récupérer la configuration de l'instance existante de VMware Tunnel en tant que fichier XML.
    3. Vous pouvez sélectionner le lien hypertexte Télécharger Unified Access Gateway. Ce bouton télécharge le fichier OVA non-FIPS. Le fichier de téléchargement comprend également le script PowerShell et le fichier de modèle .ini pour la méthode de déploiement PowerShell. Vous devez télécharger le fichier OVA VHDX ou FIPS depuis My Workspace ONE.
    4. Pour les méthodes d'installation héritées, vous pouvez sélectionner Télécharger Windows Installer.
      Ce bouton télécharge un fichier BIN unique utilisé pour le déploiement du serveur VMware Tunnel. Vous pouvez télécharger le fichier XML de configuration requis pour l'installation depuis Workspace ONE UEM Console après avoir confirmé le mot de passe du certificat.
  15. Sélectionnez Enregistrer.