Unified Access Gateway アプライアンスでは TLS/SSL 証明書を構成する必要があります。クライアントが Unified Access Gateway アプライアンスに接続するには、TLS/SSL が必要です。クライアントに面した Unified Access Gateway アプライアンスと、TLS/SSL 接続を終了させる中間サーバには、TLS/SSL サーバ証明書が必要です。

TLS/SSL サーバ証明書は、認証局 (CA) によって署名されています。CA は、証明書とその作成者の身元を保証する信頼された機関です。証明書が信頼された CA によって署名されている場合は、証明書の検証を求めるメッセージは表示されず、追加の構成をしなくてもシン クライアント デバイスから接続できます。

注: Unified Access Gateway アプライアンスに構成する TLS/SSL 証明書は、 Horizon および Web リバース プロキシのみに適用されます。

デフォルトの TLS/SSL サーバ証明書は、Unified Access Gateway アプライアンスのデプロイ時に生成されます。本番環境では、デフォルト証明書をできるだけ早く置き換えることをお勧めします。デフォルト証明書は、信頼された CA によって署名されていません。デフォルト証明書は、本番環境以外でのみ使用してください。

VMware は、TLS サーバに RSA キーベースの証明書を使用することをお勧めします。証明書とプライベート キーは、PKCS12/PFX キーストアとして、または PEM 形式の個別のプライベート キーおよび証明書チェーン ファイルとして提供できます。

PKCS12/PFX を PEM 形式の証明書チェーン ファイルに変換するには、次の openssl コマンドを実行します。 
openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercert.pem
PKCS12/PFX を PEM 形式のプライベート キー ファイルに変換するには、次の openssl コマンドを実行します。 
openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pem
PEM 形式で証明書とキーを指定する場合、プライベート キーは PKCS1 形式にする必要があります。プライベート キーを PKCS8 から PKCS1 に変換する(「BEGIN PRIVATE KEY」形式から「BEGIN RSA PRIVATE KEY」形式に変換する)には、次の openssl コマンドを実行します。 
openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem

管理ユーザー インターフェイスでの TLS サーバ証明書の設定

  1. UAG 管理コンソールの [手動構成] セクションで、[選択] をクリックします。
  2. [詳細設定] > [ID ブリッジの設定] セクションで、[TLS サーバ証明書設定] ギア アイコンをクリックします。

    管理者証明書とインターネット証明書の詳細が表示されます。

  3. ギア アイコンをクリックして証明書を変更します。
  4. 証明書を適用するインターフェイス(管理者、インターネット、またはその両方)を選択します。
  5. [PEM] または [PFX] の証明書のタイプを選択します。

    [PEM] の場合は、プライベート キーと証明書チェーンを選択します。

    [PFX] の場合は、アップロードする PFX 証明書を選択し、PFX パスワードとエイリアスを入力します。

  6. [保存] をクリックします。