이 워크플로를 사용하여 포드에 배포된 두 가지 유형의 게이트웨이 구성에 있는 SSL 인증서를 교체합니다. 이 작업을 수행해야 하는 경우 이 워크플로를 사용하여 게이트웨이에 구성된 FQDN(정규화된 도메인 이름)을 교체할 수도 있습니다. SSL 인증서를 교체하는 이유 중 하나는 현재 게이트웨이 구성에 있는 SSL 인증서가 만료 날짜에 거의 도달하는 경우입니다. Horizon Universal Console에서 [포드 편집] 마법사를 사용하여 이러한 단계를 수행합니다.
- 사용자 환경이 [브로커] 페이지에 표시된 Microsoft Azure 포드의 단일 포드 브로커링으로 구성됩니다.
- 또한 포드는 단일 포드 브로커링이 포함된 Horizon Cloud 환경 — 환경의 Microsoft Azure Horizon Cloud 포드를 Workspace ONE Access와 통합에 설명된 대로 Workspace ONE Access와 통합되어 있습니다.
- 목표는 포드와 통신할 때 Workspace ONE Access Connector에서 사용하는 SSL 인증서를 교체하는 것입니다.
그러면 해당 사용 사례에 대해 수행해야 하는 단계 집합이 달라집니다. 사용 사례가 포드와 Workspace ONE Access Connector를 포드와 통합하는 경우이면 아래 단계를 수행하지 마십시오. 이러한 단계는 아래와 완전히 다릅니다. Workspace ONE Access Connector 통합 및 해당 요구 사항에 대한 개요는 단일 포드 브로커링이 포함된 Horizon Cloud 환경 — 관련 Workspace ONE Access 테넌트 정보를 사용하여 Microsoft Azure에서 Horizon Cloud 포드를 구성하는 단계을 참조하십시오. 또한 배포 환경에서 최종 사용자의 클라이언트 및 브라우저를 포드 관리자 장치에 직접 연결하는 이례적인 드문 배포 시나리오의 경우, 아래 단계에 따라 이러한 드문 시나리오에서 사용되는 SSL 인증서를 교체하지 마십시오. Workspace ONE Access Connector 사용 사례 및 이례적인, 드문 시나리오 사용 사례에 적용되는 인증서 구성에 대한 설명은 대신 Horizon Cloud 포드 관리자 VM의 SSL 인증서 구성 개요(주로 단일 포드 브로커 환경의 포드가 있는 Workspace ONE Access Connector에서 사용)를 읽어보십시오.
포드 게이트웨이가 포드용으로 처음 배포된 이후에 어느 정도 시간이 경과되면 포드 게이트웨이에 구성된 SSL 인증서를 교체하거나 게이트웨이에 구성된 FQDN을 교체해야 하는 경우를 발견할 수 있습니다. 일반적으로 해당 포드 프로비저닝 리소스에 액세스할 수 있도록 해당 최종 사용자에게 해당 Horizon 클라이언트 또는 브라우저에서 사용할 FQDN을 부여합니다. 브라우저를 사용하여 데스크톱 및 RDS 기반 원격 애플리케이션에 로그인 및 Horizon Client를 사용하여 데스크톱 또는 RDS 기반 원격 애플리케이션에 로그인에 설명된 대로 일부 최종 사용자는 브라우저를 열고 해당 FQDN을 입력하지만 Horizon Client 중 하나를 사용할 수도 있습니다. 최종 사용자에게 클라이언트 및 브라우저를 가리키도록 지시한 게이트웨이에 구성된 SSL 인증서를 사용하여 해당 클라이언트 및 브라우저에서 해당 게이트웨이에 대한 연결을 신뢰할 수 있습니다. 배포된 Horizon Cloud 포드에 설명된 대로, 포드에는 외부 Unified Access Gateway 구성, 내부 유형 또는 둘 다가 있을 수 있습니다. 두 가지 유형의 Unified Gateway 구성에서 Unified Access Gateway 인스턴스는 FQDN 및 SSL 인증서 정보로 구성됩니다.
다양한 이유로 포드 게이트웨이에 대해 구성된 SSL 인증서 및 FQDN을 교체할 수 있습니다. 게이트웨이에 구성된 인플레이스 SSL 인증서의 인증서 체인에 만료 날짜가 있고 일정 날짜 및 시간이 곧 다가오는 경우가 한 가지 이유가 될 수 있습니다. 이러한 경우 현재 인증서의 만료 날짜에 도달하기 전에 SSL 인증서를 교체하여 최종 사용자의 클라이언트 또는 브라우저에서 게이트웨이에 연결하려고 할 때 인증서 신뢰 문제가 발생하지 않도록 할 수 있습니다. SSL 인증서를 교체하는 또 다른 이유는 최종 사용자가 클라이언트 및 브라우저에서 다른 FQDN을 사용하려고 하는 경우입니다. SSL 인증서가 FQDN과 함께 이동하기 때문에 FQDN을 다른 인증서로 변경하려는 경우 일반적으로 SSL 인증서를 새 FQDN을 기준으로 하는 인증서로 교체합니다.
사전 요구 사항
이 워크플로를 완료하려면 다음이 있어야 합니다.
- 다음 조건을 충족하는 교체용 SSL 인증서. 해당 인증서는 최종 사용자가 클라이언트 및 브라우저에서 사용하도록 설정된 FQDN을 사용하여 사용 권한이 부여된 리소스에 액세스하기 위해 포드 게이트웨이에 연결해야 합니다.
- 해당 FQDN을 기준으로 하는 서명된 SSL 인증서(PEM 형식). Unified Access Gateway 기능을 사용하려면 Unified Access Gateway 제품 설명서에 설명된 대로 클라이언트 연결용 SSL이 필요합니다. 이 인증서는 신뢰할 수 있는 CA(인증 기관)에서 서명해야 합니다. 단일 PEM 파일에는 개인 키가 있는 전체 인증서 체인이 포함되어야 합니다. 예를 들어 단일 PEM 파일에는 SSL 서버 인증서, 필요한 모든 중간 CA 인증서, 루트 CA 인증서 및 개인 키가 포함되어야 합니다. OpenSSL은 PEM 파일을 생성하는 데 사용할 수 있는 도구입니다.
중요: 인증서 체인에 있는 모든 인증서는 시간 프레임이 유효해야 합니다. Unified Access Gateway VM에서는 모든 중간 인증서를 비롯하여 체인에 있는 모든 인증서의 시간 프레임이 유효해야 합니다. 체인에 만료된 인증서가 있으면 나중에 인증서가 Unified Access Gateway 구성에 업로드될 때 예기치 않은 오류가 발생할 수 있습니다.
- 해당 SSL 인증서에 해당하는 FQDN. 이 FQDN은 최종 사용자의 클라이언트 및 브라우저에서 포드 게이트웨이에 연결하는 데 사용되는 FQDN입니다. 사용자의 클라이언트에서 만료 날짜 문제를 방지하기 위해 SSL 인증서를 교체해야 하는 경우에는 마법사에 표시되는 게이트웨이에 이미 구성되어 있는 것과 동일한 FQDN을 유지하게 될 가능성이 큽니다. 또한 FQDN을 새 FQDN으로 변경하는 경우에는 이 포드에 고유한 GUID가 있어야 합니다. 다른 포드에 대해 이미 구성된 FQDN을 재사용할 수 없습니다.
중요: 이 FQDN에는 밑줄이 포함될 수 없습니다. 이 릴리스에서는 FQDN에 밑줄이 포함되어 있는 경우 Unified Access Gateway 인스턴스에 대한 연결이 실패합니다.
프로시저
다음에 수행할 작업
변경한 Unified Access Gateway 구성에 대해 이전 FQDN과는 다른 FQDN으로 변경한 경우 DNS 서버의 CNAME 레코드를 업데이트하여 구성의 로드 밸런서 FQDN을 새 FQDN에 매핑해야 합니다. 자세한 내용은 DNS 서버에서 매핑할 Horizon Cloud 포드 게이트웨이의 로드 밸런서 정보를 가져오는 방법의 내용을 참조하십시오.