Utilisez ce workflow pour remplacer le certificat SSL qui est en place sur l'un des deux types de configuration de passerelle déployés sur votre espace. Vous pouvez également utiliser ce workflow pour remplacer le nom de domaine complet (FQDN) qui est configuré sur la passerelle, si nécessaire. Il est probable que le remplacement du certificat SSL soit dû au fait que le certificat SSL actuellement en place dans la configuration de la passerelle approche de sa date d'expiration. Effectuez ces étapes à l'aide de l'assistant Modifier l'espace dans la Horizon Universal Console.
- Votre environnement est configuré avec l'intermédiation à espace unique pour vos espaces dans Microsoft Azure, indiqué sur la page Broker.
- En outre, l'espace est intégré à Workspace ONE Access, comme décrit dans Environnement Horizon Cloud avec intermédiation à espace unique : intégration des espaces Horizon Cloud de l'environnement dans Microsoft Azure à Workspace ONE Access
- Votre objectif est de remplacer le certificat SSL utilisé par Workspace ONE Access Connector lors de la communication avec l'espace.
Il existe ensuite un ensemble différent d'étapes à suivre pour ce cas d'utilisation. Ne suivez pas les étapes ci-dessous si votre cas d'utilisation concerne l'intégration de Workspace ONE Access Connector à vos espaces. Ces étapes sont complètement différentes de celles ci-dessous. Pour obtenir une présentation de l'intégration de Workspace ONE Access Connector et de ses besoins, reportez-vous à la section Environnement Horizon Cloud avec intermédiation à espace unique : étapes de configuration d'un espace Horizon Cloud dans Microsoft Azure avec les informations de locataire Workspace ONE Access appropriées. En outre, si votre déploiement est un scénario rare et atypique dans lequel les clients et le navigateur de vos utilisateurs finaux se connectent directement aux dispositifs du gestionnaire d'espace, ne suivez pas les étapes ci-dessous pour remplacer le certificat SSL utilisé dans ces rares scénarios. Pour obtenir une description de la configuration du certificat qui s'applique dans le cas d'utilisation de Workspace ONE Access Connector et le cas d'utilisation de scénario atypique et rare, consultez plutôt la section Présentation de la configuration de certificats SSL sur les machines virtuelles du gestionnaire de l'espace Horizon Cloud, principalement pour une utilisation par Workspace ONE Access Connector avec des espaces dans un environnement de Broker à espace unique.
Une fois le délai écoulé après le premier déploiement des passerelles de l'espace, il peut s'avérer nécessaire de remplacer les certificats SSL configurés sur les passerelles de l'espace ou de remplacer le nom de domaine complet configuré sur les passerelles, ou les deux. En général, donnez à vos utilisateurs finaux un nom de domaine complet à utiliser dans Horizon Client ou le navigateur pour accéder à leurs ressources provisionnées par l'espace. Comme décrit dans les rubriques Se connecter à des postes de travail et des applications distantes RDS à l'aide d'un navigateur et Se connecter à des postes de travail ou des applications distantes RDS à l'aide d'Horizon Client, certains utilisateurs finaux ouvrent un navigateur et entrent ce nom de domaine complet, tandis que d'autres peuvent utiliser l'un des clients Horizon Client. Le certificat SSL configuré sur la passerelle sur laquelle vous indiquez aux utilisateurs finaux de pointer leurs clients et navigateurs permet à ces clients et à ces navigateurs d'approuver les connexions à cette passerelle. Comme indiqué à la section Espace Horizon Cloud déployé, l'espace peut comprendre une configuration externe d'Unified Access Gateway, un type interne ou les deux. Dans l'un des deux types de configuration d'Unified Gateway, les instances d'Unified Access Gateway sont configurées avec les informations de nom de domaine complet et de certificat SSL.
Vous souhaiterez peut-être remplacer le certificat SSL et le nom de domaine complet configurés sur les passerelles de l'espace pour différentes raisons. Il est possible que le certificat SSL en place configuré sur une passerelle comporte une date d'expiration dans sa chaîne de certificats et que la date et l'heure du calendrier approchent bientôt. Dans ce cas, vous souhaitez remplacer le certificat SSL avant d'atteindre la date d'expiration de l'actuel, afin d'éviter les problèmes d'approbation de certificat dans les clients ou les navigateurs des utilisateurs finaux lorsqu'ils tentent de se connecter à la passerelle. Il est également nécessaire de remplacer le certificat SSL lorsque vos utilisateurs finaux doivent commencer à utiliser un nom de domaine complet différent dans leurs clients et navigateurs. Étant donné que le certificat SSL va de pair avec un nom de domaine complet, lorsque vous souhaitez remplacer le nom de domaine complet par un autre, remplacez généralement le certificat SSL par celui basé sur le nouveau nom de domaine complet.
Conditions préalables
Pour terminer ce workflow, il vous faut :
- Le certificat SSL de remplacement qui répond aux critères suivants. Ce certificat doit utiliser le nom de domaine complet que vos utilisateurs finaux utilisent dans leurs clients et navigateurs pour se connecter à la passerelle de l'espace afin d'accéder à leurs ressources autorisées.
- Un certificat de serveur SSL signé (au format PEM) basé sur ce FQDN. Les capacités d’Unified Access Gateway requièrent SSL pour les connexions client, comme décrit dans la documentation du produit Unified Access Gateway. Le certificat doit être signé par une autorité de certification approuvée. Le fichier PEM doit contenir la chaîne de certificats complète avec la clé privée. Par exemple, le fichier PEM doit contenir le certificat de serveur SSL, des certificats d’autorité de certification intermédiaires nécessaires, le certificat d’autorité de certification racine et la clé privée. OpenSSL est un outil que vous pouvez utiliser pour créer le fichier PEM.
Important : Tous les certificats de la chaîne doivent comprendre des périodes valides. Les machines virtuelles Unified Access Gateway requièrent que tous les certificats de la chaîne, y compris les certificats intermédiaires, aient des périodes valides. Si un certificat dans la chaîne est expiré, des défaillances inattendues peuvent se produire ultérieurement, car le certificat est téléchargé dans la configuration d' Unified Access Gateway.
- Nom de domaine complet correspondant à ce certificat SSL. Ce nom de domaine complet est celui utilisé dans les clients et les navigateurs des utilisateurs finaux pour se connecter à la passerelle de l'espace. Si la raison du remplacement du certificat SSL est d'éviter des problèmes de date d'expiration dans les clients de vos utilisateurs, vous conserverez probablement le même nom de domaine complet qui est déjà configuré sur la passerelle, qui s'affiche dans l'assistant. Si vous remplacez également le nom de domaine complet par un nouveau, vous devez disposer d'un nom unique pour cet espace. Vous ne pouvez pas réutiliser un nom de domaine complet déjà configuré pour vos autres espaces.
Important : Ce FQDN ne peut pas contenir de traits de soulignement. Dans cette version, les connexions aux instances d' Unified Access Gateway échoueront lorsque le FQDN contient des traits de soulignement.
Procédure
Que faire ensuite
Quelle que soit la configuration d'Unified Access Gateway que vous avez modifiée, si vous êtes passé à un nom de domaine complet différent du précédent, veillez à mettre à jour l'enregistrement CNAME dans votre serveur DNS pour mapper le nom de domaine complet de l'équilibrage de charge de la configuration au nouveau nom de domaine complet. Reportez-vous à la section Comment obtenir les informations d'équilibrage de charge de la passerelle de l'espace Horizon Cloud à mapper dans votre serveur DNS pour plus d'informations.