このワークフローを使用して、ポッドにデプロイされているいずれかのタイプのゲートウェイ構成に配置されている SSL 証明書を置き換えます。また、必要に応じて、このワークフローを使用して、ゲートウェイで構成されている完全修飾ドメイン名 (FQDN) を置き換えることもできます。SSL 証明書を置き換える理由の 1 つとして、ゲートウェイ構成に現在配置されている SSL 証明書の有効期限が近づいていることが考えられます。次の手順を実行するには、Horizon Universal Console のポッドの編集ウィザードを使用します。

重要: このユースケースに該当する場合:

その場合、このユースケースでは、さまざまな手順を実行する必要があります。Workspace ONE Access Connector とポッドを統合する場合は、以下の手順は実行しないでください。これらの手順は、以下の手順とはまったく異なります。Workspace ONE Access Connector の統合とそのニーズの概要については、シングルポッド仲介を使用した Horizon Cloud 環境:Microsoft Azure で関連する Workspace ONE Access テナント情報を使用して Horizon Cloud ポッドを構成する手順を参照してください。また、デプロイが、エンド ユーザーのクライアントとブラウザをポッド マネージャ アプライアンスに直接接続するというまれで一般的ではないシナリオである場合は、以下の手順を実行して、これらのまれなシナリオで使用される SSL 証明書を置き換えないでください。Workspace ONE Access Connector の使用事例、およびまれで一般的ではないシナリオの使用事例に適用される証明書の構成の説明については、代わりにHorizon Cloud ポッドのマネージャ仮想マシンでの SSL 証明書の構成の概要(主にシングルポッド ブローカ環境でポッドを使用する Workspace ONE Access Connector で使用)を参照してください。

ポッドのゲートウェイが最初にポッドにデプロイされてから時間が経過した後に、ポッドのゲートウェイで構成されている SSL 証明書を置き換えるか、ゲートウェイで構成されている FQDN を置き換えるか、またはその両方を行う必要がある場合があります。通常は、エンド ユーザーに対して、ポッドでプロビジョニングされたリソースにアクセスするために、Horizon Client またはブラウザで使用する FQDN を指定します。ブラウザを使用したデスクトップおよび RDS ベースのリモート アプリケーションへのログインHorizon Client を使用したデスクトップまたは RDS ベースのリモート アプリケーションへのログインのトピックで説明したように、一部のエンド ユーザーはブラウザを開いてその FQDN を入力しますが、他のエンド ユーザーは Horizon Client の 1 つを使用する場合があります。エンド ユーザーにクライアントとブラウザを指定するように指示するゲートウェイで構成された SSL 証明書により、それらのクライアントとブラウザはそのゲートウェイへの接続を信頼できるようになります。Microsoft Azure にデプロイされた Horizon Cloud ポッド に記載されているように、ポッドには外部の Unified Access Gateway 構成、内部のタイプ、またはその両方を設定できます。Unified Gateway 構成のいずれかのタイプで、Unified Access Gateway インスタンスは、FQDN および SSL 証明書情報で構成されます。

ポッドのゲートウェイで構成されている SSL 証明書と FQDN をさまざまな理由で置き換えることができます。理由の 1 つは、ゲートウェイで構成されたインプレース SSL 証明書の証明書チェーンに有効期限があり、そのカレンダーの日付と時刻が間もなく近づいているためである可能性があります。そのような状況では、現在の有効期限に達する前に SSL 証明書を置き換えて、エンド ユーザーのクライアントまたはブラウザがゲートウェイに接続しようとするときに証明書の信頼の問題が発生しないようにする必要があります。SSL 証明書を置き換えるもう 1 つの理由として、エンド ユーザーがクライアントとブラウザで別の FQDN の使用を開始する必要がある場合です。SSL 証明書は FQDN と連携するため、FQDN を別の FQDN に変更する場合は、通常、SSL 証明書を新しい FQDN に基づく証明書に置き換えます。

注: システムが構成を変更している間、エンド ユーザーの接続セッションがポッドによって提供されている場合、それらのアクティブなセッションは切断されます。データの損失は発生しません。構成の変更が完了した後に、これらのユーザーは再接続できます。

前提条件

このワークフローを完了するには、以下が必要です。

  • 次の条件を満たす置き換え用 SSL 証明書。この証明書では、エンド ユーザーがクライアントおよびブラウザで使用する FQDN を使用して、使用資格が付与されたリソースにアクセスするためにポッドのゲートウェイに接続する必要があります。
  • その FQDN に基づいた署名付きの SSL サーバ証明書(PEM 形式)。Unified Access Gateway 機能には、Unified Access Gateway 製品マニュアルに記載されているようにクライアント接続のための SSL が必要です。証明書には、信頼された証明書認証局 (CA) の署名が必要です。単一の PEM ファイルに完全な証明書チェーンおよびプライベート キーが含まれている必要があります。たとえば、単一の PEM ファイルに SSL サーバ証明書、必要な中間 CA 証明書、ルート CA 証明書、およびプライベート キーが含まれている必要があります。OpenSSL は、PEM ファイルの作成に使用できるツールです。
    重要: 証明書チェーン内のすべての証明書が有効期限内である必要があります。 Unified Access Gateway 仮想マシンでは、任意の中間証明書を含む、チェーン内のすべての証明書が有効期限内である必要があります。チェーン内のいずれかの証明書が期限切れの場合、後で Unified Access Gateway 構成に証明書がアップロードされる際に予期しない障害が発生する可能性があります。
  • 当該 SSL 証明書に対応する FQDN。この FQDN は、エンド ユーザーのクライアントとブラウザでポッドのゲートウェイに接続するために使用されるものです。SSL 証明書を置き換える理由が、ユーザーのクライアントの有効期限の問題を回避するためである場合は、ゲートウェイですでに構成されている FQDN を保持して、ウィザードに表示される可能性があります。また、FQDN を新しいものに変更する場合は、このポッドに固有の FQDN を使用する必要があります。他のポッドに対してすでに設定されている FQDN を再使用することはできません。
    重要: この FQDN には、アンダー スコアを含めることはできません。このリリースでは、FQDN にアンダー スコアが含まれていると、 Unified Access Gateway インスタンスへの接続が失敗します。

手順

  1. コンソールで [設定] > [キャパシティ] に移動し、ポッドの名前をクリックしてその詳細ページを開きます。
  2. ポッドの詳細ページで、[編集] をクリックします。
  3. [ポッドの編集] ウィンドウで [次へ] をクリックし、[ゲートウェイ設定] の手順に移動します。
  4. ゲートウェイ構成で実行する必要がある変更に応じて、[外部 UAG] セクションまたは [内部 UAG] セクションのいずれかで、関連する手順を実行します。
    1. [FQDN] の値を新しい値に置き換えます。
    2. 新しい証明書をアップロードするには、[変更] をクリックして、SSL 証明書を置き換えます。
      Microsoft Azure で実行中の Unified Access Gateway インスタンスへの接続をクライアントが信頼できるようにするために、 Unified Access Gateway で使用される PEM 形式の証明書をアップロードします。証明書は、指定した FQDN に基づいたものにして、信頼されている認証局 (CA) によって署名されている必要があります。
  5. [保存して終了] をクリックします。
    FQDN または証明書を更新すると既存のユーザー接続が切断されるという内容の確認メッセージが表示され、ワークフローの開始を確認するよう求められます。
  6. [はい] をクリックしてワークフローを開始します。
    重要: 証明書チェーン内のいずれかの証明書の有効期限が切れている場合、 [更新ステータス] には [更新に失敗しました] と表示されます。この表示になっている場合は、証明書ファイルを確認し、すべての証明書の有効期間が終了していないか確認します。

次のタスク

どの Unified Access Gateway 構成を変更した場合でも、前の設定とは異なる FQDN に変更した場合は、DNS サーバの CNAME レコードを更新して、構成のロード バランサの FQDN を新しい FQDN にマッピングするようにします。詳細については、DNS サーバでマッピングする Horizon Cloud ポッドのゲートウェイのロード バランサ情報の取得方法を参照してください。