Unified Access Gateway에서 다양한 유형의 TLS/SSL 인증서를 사용할 수 있습니다. 배포에 적합한 인증서 유형을 선택하는 것이 중요합니다. 인증서를 사용할 수 있는 서버의 수에 따라 인증서 유형의 비용이 다릅니다.

선택한 유형이 무엇이든 인증서에 FQDN(정규화된 도메인 이름)을 사용하여 VMware 보안 권장 사항에 따릅니다. 내부 도메인에서의 통신에도 단순한 서버 이름이나 IP 주소를 사용하지 마십시오.

단일 서버 이름 인증서

특정 서버의 대상 이름이 있는 인증서를 생성할 수 있습니다. 예: dept.example.com.

이러한 유형의 인증서는 한 Unified Access Gateway 장치만 인증해야 하는 등의 경우에 유용합니다.

CA에 인증서 서명 요청을 제출할 때 인증서와 연결되는 서버 이름을 제공하십시오. Unified Access Gateway 장치에서 인증서에 연결된 이름과 일치하도록 제공된 서버 이름을 확인할 수 있어야 합니다.

제목 대체 이름

SAN(제목 대체 이름)은 인증서를 발급할 때 추가할 수 있는 특성입니다. 이 특성을 사용하여 인증서에서 두 개 이상의 서버를 유효성 검사할 수 있도록 대상 이름(URL)을 추가할 수 있습니다.

예를 들어, 로드 밸런서 뒤에 있는 Unified Access Gateway 장치에 대해 ap1.example.com, ap2.example.comap3.example.com의 세 인증서를 발급할 수 있습니다. 로드 밸런서 호스트 이름을 나타내는 제목 대체 이름을 추가한 경우는(이 예에서는 horizon.example.com) 인증서가 클라이언트에서 지정한 호스트 이름과 일치하므로 유효합니다.

인증서 서명 요청을 CA에 제출할 때 외부 인터페이스 로드 밸런서 VIP(가상 IP 주소)를 일반 이름 및 SAN 이름으로 제공하십시오. Unified Access Gateway 장치에서 인증서에 연결된 이름과 일치하도록 제공된 서버 이름을 확인할 수 있어야 합니다.

해당 인증서는 포트 443에서 사용됩니다.

와일드카드 인증서

와일드카드 인증서는 여러 서비스에서 사용할 수 있도록 생성됩니다. 예: *.example.com.

여러 서버에 인증서가 필요한 경우에는 와일드카드 인증서가 유용합니다. Unified Access Gateway 장치 외에도 환경에 있는 다른 애플리케이션에 TLS/SSL 인증서가 필요한 경우에는 해당 서버에도 와일드카드 인증서를 사용할 수 있습니다. 그러나 다른 서비스에서 공유되는 와일드카드 인증서를 사용하는 경우 이러한 다른 서비스의 보안도 VMware Horizon 제품 보안에 영향을 미칩니다.

참고:

와일드카드 인증서는 단일 도메인 수준에만 사용할 수 있습니다. 예를 들어, 대상 이름이 *.example.com인 와일드카드 인증서는 하위 도메인 dept.example.com에서 사용할 수 있지만 dept.it.example.com에서는 사용할 수 없습니다.

Unified Access Gateway 장치로 가져오는 인증서는 클라이언트 시스템에서 신뢰해야 하며 와일드카드나 SAN(제목 대체 이름) 인증서를 사용하여 Unified Access Gateway의 모든 인스턴스와 모든 로드 밸런서에 적용해야 합니다.