Horizon では、異なるタイプの TLS 証明書を使用できます。導入するのに適したタイプの証明書を選択することが重要です。各タイプの証明書は、証明書を使用できるサーバの数に応じてコストが異なります。

どのタイプの証明書を選択した場合でも、証明書の完全修飾ドメイン名 (FQDN) を使用し、VMware のセキュリティに関する推奨事項に従ってください。内部ドメインの範囲内の通信にも、シンプルなサーバ名や IP アドレスは使用しないでください。

単一サーバ名証明書

特定のサーバのサブジェクト名を含む証明書を生成できます。たとえば dept.company.com のようにします。

このタイプの証明書が役立つのは、たとえば、証明書を必要とする Connection Server インスタンスが 1 つのみの場合です。

証明書署名要求を CA に送信するときは、証明書に関連付けられたサーバ名を指定します。ユーザーが指定したサーバ名を Horizon Server が解決でき、証明書に関連付けられた名前とそのサーバ名が一致することを確認します。

サブジェクトの別名

サブジェクトの別名 (SAN) は、発行する証明書に追加できる属性です。この属性は、証明書にサブジェクト名 (URL) を追加して、複数のサーバを検証できるようにするために使用します。

たとえば、証明書はホスト名が dept.company.com のサーバに対して発行されるとします。この証明書は、Connection Server を介して Horizon に接続する外部ユーザーに使用されることを意図しています。この証明書が発行される前に、SAN dept-int.company.com を証明書に追加し、トンネルが有効になっているときに、ロード バランサの背後の Connection Server インスタンスでこの証明書が使用されることを許可できます。

ワイルドカード証明書

ワイルドカード証明書は、複数のサービスで使用できるようにするために生成されます。たとえば *.company.com のような証明書です。

ワイルドカードは、多数のサーバが証明書を必要とする場合に便利です。Horizon の他に、環境内の他のアプリケーションが TLS 証明書を必要とする場合は、それらのサーバに対してもワイルドカード証明書を使用できます。ただし、他のサービスと共有されるワイルドカード証明書を使用する場合、VMware Horizon 製品のセキュリティは、それらのサービスのセキュリティにも依存します。

注: ワイルドカード証明書は、単一レベルのドメインでのみ使用できます。たとえば、 *.company.com というサブジェクト名を含むワイルドカード証明書は、サブドメイン dept.company.com では使用できますが、 dept.it.company.com では使用できません。