Les serveurs de sécurité et les dispositifs Unified Access Gateway comprennent un composant Blast Secure Gateway. Lorsque Blast Secure Gateway est activé, après l'authentification, les clients qui utilisent Blast Extreme ou HTML Access peuvent établir une autre connexion sécurisée à un serveur de sécurité ou à un dispositif Unified Access Gateway. Cette connexion permet aux clients d'accéder à des applications et à des postes de travail distants depuis Internet.

Lorsque vous activez le composant Blast Secure Gateway, le trafic Blast Extreme est transmis par un serveur de sécurité ou un dispositif Unified Access Gateway aux applications et aux postes de travail distants. Si des clients utilisant Blast Extreme utilisent également la fonctionnalité de redirection USB ou l'accélération MMR (redirection multimédia), vous pouvez activer le composant View Secure Gateway afin de transmettre ces données.

Lorsque vous configurez des connexions client directes, le trafic Blast Extreme et les autres trafics vont directement d'un client vers une application ou un poste de travail distant.

Lorsque les utilisateurs finaux tels que des travailleurs à domicile ou mobiles accèdent à des postes de travail depuis Internet, des serveurs de sécurité ou des dispositifs Unified Access Gateway fournissent le niveau requis de sécurité et de connectivité donc une connexion VPN n'est pas nécessaire. Le composant Blast Secure Gateway garantit que le seul trafic à distance pouvant entrer dans le centre de données de l'entreprise est le trafic pour le compte d'un utilisateur dont l'authentification est renforcée. Les utilisateurs finaux ne peuvent accéder qu'aux ressources dont l'accès leur est autorisé.

Un client natif Blast qui fonctionne via une passerelle Blast Secure Gateway s'attend à ce que sa connexion TLS de session Blast soit authentifiée par le certificat TLS qui est configuré sur Blast Secure Gateway. Si la connexion Blast du client voit d'autres certificats TLS, la connexion est ignorée et le client signale une incompatibilité d'empreinte de certificat.

Si vous optez pour que le client établisse sa connexion à un proxy de terminaison TLS placé entre le client et la passerelle Blast Secure Gateway, vous pouvez répondre aux exigences de certificat du client et éviter une erreur d'incompatibilité d'empreinte en réglant le proxy pour qu'il présente une copie du certificat (et de la clé privée) de Blast Secure Gateway, ce qui permet la réussite de la connexion Blast à partir du client.

Une alternative à la copie de certificat de la passerelle Blast Secure Gateway sur le proxy consiste à fournir le proxy avec son propre certificat TLS, puis de configurer la passerelle Blast Secure Gateway pour qu'elle conseille au client d'attendre et d'accepter le certificat du proxy plutôt que celui de la passerelle Blast Secure Gateway.

Vous pouvez configurer Blast Secure Gateway dans une passerelle Unified Access Gateway en téléchargeant le certificat du proxy dans Certificat du proxy Blast dans les paramètres d'Horizon Unified Access Gateway. Consultez le document Déploiement et configuration de VMware Unified Access Gateway à l'adresse https://docs.vmware.com/fr/Unified-Access-Gateway/index.html.