クライアントが Unified Access Gateway アプライアンスに接続するには、TLS/SSL が必要です。クライアントに面した Unified Access Gateway アプライアンスと、TLS/SSL 接続を終了させる中間サーバには、TLS/SSL サーバ証明書が必要です。
TLS/SSL サーバ証明書は、認証局 (CA) によって署名されています。CA は、証明書とその作成者の身元を保証する信頼された機関です。証明書が信頼された CA によって署名されている場合は、証明書の検証を求めるメッセージは表示されず、追加の構成をしなくてもシン クライアント デバイスから接続できます。
デフォルトの TLS/SSL サーバ証明書は、Unified Access Gateway アプライアンスのデプロイ時に生成されます。本番環境では、デフォルト証明書をできるだけ早く置き換えることをお勧めします。デフォルト証明書は、信頼された CA によって署名されていません。デフォルト証明書は、本番環境以外でのみ使用してください。
VMware は、TLS サーバに RSA キーベースの証明書を使用することをお勧めします。証明書とプライベート キーは、PKCS12/PFX キーストアとして、または PEM 形式の個別のプライベート キーおよび証明書チェーン ファイルとして提供できます。
PKCS12/PFX を PEM 形式の証明書チェーン ファイルに変換するには、次の
openssl
コマンドを実行します。
openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercert.pemPKCS12/PFX を PEM 形式のプライベート キー ファイルに変換するには、次の
openssl
コマンドを実行します。
openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pemPEM 形式で証明書とキーを指定する場合、プライベート キーは PKCS1 形式にする必要があります。プライベート キーを PKCS8 から PKCS1 に変換する(「BEGIN PRIVATE KEY」形式から「BEGIN RSA PRIVATE KEY」形式に変換する)には、次の
openssl
コマンドを実行します。
openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem