Unified Access Gateway では、異なるタイプの TLS/SSL 証明書を使用できます。デプロイに適したタイプの証明書を選択することが重要です。各タイプの証明書は、証明書を使用できるサーバの数に応じてコストが異なります。

どのタイプの証明書を選択した場合でも、証明書の完全修飾ドメイン名 (FQDN) を使用し、VMware のセキュリティに関する推奨事項に従ってください。内部ドメインの範囲内の通信にも、シンプルなサーバ名や IP アドレスは使用しないでください。

単一サーバ名証明書

特定のサーバのサブジェクト名を含む証明書を生成できます。たとえば、dept.example.com のような証明書です。

このタイプの証明書が役立つのは、たとえば、証明書を必要とする Unified Access Gateway アプライアンスが 1 つのみの場合です。

証明書署名要求を認証局 (CA) に送信するときは、証明書に関連付けるサーバ名を指定します。ユーザーが指定したサーバ名を Unified Access Gateway アプライアンスが解決でき、証明書に関連付けられた名前とそのサーバ名が一致することを確認します。

サブジェクトの別名

サブジェクトの別名 (SAN) は、発行する証明書に追加できる属性です。この属性は、証明書にサブジェクト名 (URL) を追加して、複数のサーバを検証できるようにするために使用します。

たとえば、ロード バランサの背後にある Unified Access Gateway アプライアンスに対して、ap1.example.comap2.example.com、および ap3.example.com という 3 つの証明書が発行されるとします。ロード バランサのホスト名を表す Subject Alternative Names (SAN)(この例では、horizon.example.com など)を追加することにより、証明書は、クライアントが指定したホスト名に一致するため、有効になります。

証明書署名要求を認証局 (CA) に送信する場合は、コモン ネームおよび SAN 名として外部インターフェイスのロード バランサの仮想 IP アドレス (VIP) を指定します。ユーザーが指定したサーバ名を Unified Access Gateway アプライアンスが解決でき、証明書に関連付けられた名前とそのサーバ名が一致することを確認します。

証明書はポート 443 で使用されます。

ワイルドカード証明書

ワイルドカード証明書は、複数のサービスで使用できるようにするために生成されます。たとえば、*.example.com のような証明書です。

ワイルドカードは、多数のサーバが証明書を必要とする場合に便利です。Unified Access Gateway アプライアンスの他に、環境内の他のアプリケーションが TLS/SSL 証明書を必要とする場合は、それらのサーバに対してもワイルドカード証明書を使用できます。ただし、他のサービスと共有されるワイルドカード証明書を使用する場合、VMware Horizon 製品のセキュリティは、それらのサービスのセキュリティにも依存します。

注: ワイルドカード証明書は、単一レベルのドメインでのみ使用できます。たとえば、 *.example.com というサブジェクト名を含むワイルドカード証明書は、サブドメイン dept.example.com では使用できますが、 dept.it.example.com では使用できません。

Unified Access Gateway アプライアンスにインポートする証明書は、クライアント マシンによって信頼される必要があります。また、ワイルドカードまたはサブジェクトの別名 (SAN) 証明書を使用して Unified Access Gateway のすべてのインスタンスと任意のロード バランサに適用できる必要もあります。