您可以設定用來從管理員組態頁面加密用戶端與 Unified Access Gateway 應用裝置之間通訊的安全性通訊協定和密碼編譯演算法。
必要條件
- 檢閱 Unified Access Gateway 部署內容。需要下列設定資訊:
- Unified Access Gateway 應用裝置的靜態 IP 位址
- DNS 伺服器的 IP 位址
備註: 最多可以指定兩個 DNS 伺服器 IP 位址。
僅在未隨著組態設定或透過 DHCP 向 Unified Access Gateway 提供任何 DNS 伺服器位址時,Unified Access Gateway 才會使用平台預設後援公用 DNS 位址。
- 管理主控台的密碼
- Unified Access Gateway 應用裝置所指向的伺服器執行個體或負載平衡器的 URL
- 儲存事件記錄檔的 Syslog 伺服器 URL
程序
- 在管理員 UI 的 [手動設定] 區段中,按一下選取。
- 在 [進階設定] 區段中,按一下系統組態齒輪圖示。
- 編輯下列 Unified Access Gateway 應用裝置組態值。
選項 預設值和說明 UAG 名稱 唯一的 Unified Access Gateway 應用裝置名稱。 備註: 應用裝置名稱可包含最多 24 個字元的文字字串,其中包括字母 (A-Z)、數字 (0-9)、減號(-)
和句號(.)
。但是,應用裝置名稱不可包含空格。地區設定 指定在產生錯誤訊息時使用的語言設定。
- en_US 表示美式英文。這是預設值。
- ja_JP 表示日文
- fr_FR 表示法文
- de_DE 表示德文
- zh_CN 表示簡體中文
- zh_TW 表示繁體中文
- ko_KR 表示韓文
- es 表示西班牙文
- pt_BR 表示葡萄牙文 (巴西)
- en_GB 表示英式英文
TLS 伺服器加密套件 輸入以逗號分隔的加密套件清單,這些是用於對連線至 Unified Access Gateway 的輸入 TLS 連線進行加密的加密演算法 此選項與在啟用各種安全性通訊協定時使用的其他幾個選項結合使用,例如,TLS 版本、具名群組、簽章配置等。
FIPS 模式下支援的 TLS 伺服器加密套件如下所示:- 預設啟用的加密套件:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- 受支援且可手動設定的加密套件:
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
在非 FIPS 模式下支援的預設 TLS 伺服器加密套件如下所示:TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
可透過在 ini 檔案中新增 cipherSuites 參數,在 PowerShell 部署期間設定此選項。請參閱使用 PowerShell 來部署 Unified Access Gateway 應用裝置。
TLS 用戶端加密套件 輸入以逗號分隔的加密套件清單,這些是用於對連線至 Unified Access Gateway 的輸出 TLS 連線進行加密的加密演算法 此選項與在啟用各種安全性通訊協定時使用的其他幾個選項結合使用,例如,TLS 版本、具名群組、簽章配置等。
在 FIPS 模式下,支援以下加密套件:TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
在非 FIPS 模式下,依預設可以使用 SSL 程式庫 (Java/Open SSL) 支援的所有加密套件。
可透過在 ini 檔案中新增 outboundCipherSuites 參數,在 PowerShell 部署期間設定此選項。請參閱使用 PowerShell 來部署 Unified Access Gateway 應用裝置。
SSL 提供者 選取用於處理 TLS 連線的 SSL 提供者實作。 若要設定 TLS Named Groups 和 TLS Signature Schemes,此選項的值必須為
JDK
。依預設,此選項的值為OPENSSL
。備註: 當此選項的值為JDK
時,不支援 OCSP 式的憑證撤銷檢查。但是,支持 CRL 式的憑證撤銷檢查。對此選項進行任何變更都會導致 Unified Access Gateway 服務重新啟動。重新啟動期間不會保留正在進行的 Unified Access Gateway 工作階段。
可透過在 ini 檔案中新增 sslProvider 參數,在 PowerShell 部署期間設定此選項。請參閱使用 PowerShell 來部署 Unified Access Gateway 應用裝置。
TLS 具名群組 允許管理員從在 SSL 信號交換期間用於金鑰交換的受支援具名群組清單中設定所需的具名群組 (橢圓曲線)。 此選項允許以逗號分隔的值。部分受支援的具名群組如下所示:
secp256r1, secp384r1, secp521r1
。若要設定此選項,請確保將 SSL Provider 選項設定為
JDK
。否則,將停用 TLS Named Groups 選項。對此選項進行任何變更都會導致 Unified Access Gateway 服務重新啟動。重新啟動期間不會保留正在進行的 Unified Access Gateway 工作階段。可透過在 ini 檔案中新增 tlsNamedGroups 參數,在 PowerShell 部署期間設定此選項。請參閱使用 PowerShell 來部署 Unified Access Gateway 應用裝置。
TLS 簽章配置 允許管理員設定在 SSL 信號交換期間用於金鑰驗證的受支援 TLS 簽章演算法。 此選項允許以逗號分隔的值。例如,部分受支援的簽章配置如下所示:
rsa_pkcs1_sha
、rsa_pkcs1_sha256
、rsa_pkcs1_sha384
、rsa_pss_rsae_sha256
和rsa_pss_rsae_sha384
。若要設定此選項,請確保將 SSL Provider 選項設定為
JDK
。否則,將停用 TLS Signature Schemes 選項。對此選項進行任何變更都會導致 Unified Access Gateway 服務重新啟動。重新啟動期間不會保留正在進行的 Unified Access Gateway 工作階段。可透過在 ini 檔案中新增 tlsSignatureSchemes 參數,在 PowerShell 部署期間設定此選項。請參閱使用 PowerShell 來部署 Unified Access Gateway 應用裝置。
啟用 TLS 1.0 依預設,會關閉此切換。 開啟此切換以啟用 TLS 1.0 安全性通訊協定。
啟用 TLS 1.1 依預設,會關閉此切換。 開啟此切換以啟用 TLS 1.1 安全性通訊協定。
啟用 TLS 1.2 依預設,將開啟此切換。 TLS 1.2 安全性通訊協定已啟用。
啟用 TLS 1.3 依預設,將開啟此切換。 TLS 1.3 安全性通訊協定已啟用。
允許的主機標頭 輸入 IP 位址或主機名稱作為主機標頭值。此設定適用於具有 Horizon 和 Web 反向 Proxy 使用案例的 Unified Access Gateway 部署。 對於使用 Horizon 的 Unified Access Gateway 部署,您可能需要提供多個主機標頭。這取決於是否使用了 N+1 虛擬 IP (VIP),以及是否啟用 Blast 安全閘道 (BSG) 和 VMware Tunnel,並將其設定為對外部使用連接埠 443。
Horizon 用戶端會在主機標頭中傳送用於 Blast 連線要求的 IP 位址。如果將 BSG 設定為使用連接埠 443,則允許的主機標頭必須包含在特定 UAG 之 Blast 外部 URL 中所設定 BSG 主機名稱的外部 IP 位址。
如果未指定主機標頭值,則依預設會接受用戶端傳送的任何主機標頭值。
CA 憑證 新增了 Syslog 伺服器時,便會啟用此選項。請選取有效的 Syslog 憑證授權機構的憑證。 健全狀況檢查 URL 輸入負載平衡器連線到的 URL,並檢查 Unified Access Gateway 的健全狀況。 HTTP 健全狀況監視器 依預設,會關閉此切換。預設組態會將 HTTP 健全狀況檢查 URL 要求重新導向到 HTTPS。開啟此切換時,即使在 HTTP 上,Unified Access Gateway 也會回應健全狀況檢查要求。 要快取的 Cookie Unified Access Gateway 快取的 Cookie 集。預設值為 [無]。 工作階段逾時 預設值為 36000000 毫秒。 備註: Unified Access Gateway 上的 Session Timeout 值必須與 Horizon Connection Server 上 Forcibly disconnect users 設定的值相同。Forcibly disconnect users 設定是 Horizon Console 中的其中一個一般全域設定。如需此設定的詳細資訊,請參閱 VMware Docs 中《VMware Horizon 管理》文件的〈設定用戶端工作階段的設定〉。
靜止模式 開啟此切換以暫停 Unified Access Gateway 應用裝置,達成一致的狀態來執行維護工作 監控間隔 預設值為 60。 密碼使用期限 管理員角色中使用者的密碼有效天數。 預設值為
90
天。可設定的最大值為999
天。若要讓密碼永不到期,請指定此欄位的值為
0
。監控使用者密碼使用期限 監控角色中使用者的密碼有效天數。 預設值為
90
天。可設定的最大值為999
天。若要讓密碼永不到期,請指定此欄位的值為
0
。要求逾時 指出 Unified Access Gateway 等候要接收要求的時間上限。 預設值為
3000
。必須以毫秒為單位指定此逾時。
本文接收逾時 指出 Unified Access Gateway 等候要接收要求本文的時間上限。 預設值為
5000
。必須以毫秒為單位指定此逾時。
每個工作階段的連線數目上限 每個 TLS 工作階段允許的 TCP 連線數目上限。 預設值為
16
。若要讓允許的 TCP 連線數目沒有限制,請將此欄位的值設為
0
。備註:8
或更低的欄位值會導致 Horizon Client 中發生錯誤。用戶端連線閒置逾時 指定關閉連線之前,用戶端連線可以維持閒置的時間 (以秒為單位)。預設值為 360 秒 (6 分鐘)。零值表示無閒置逾時。 驗證逾時 等待時間上限 (以毫秒為單位),在此之前必須進行驗證。預設值為 300000。如果指定 0,則表示驗證沒有時間限制。
時鐘誤差容錯 輸入 Unified Access Gateway 時鐘與相同網路上其他時鐘之間允許的時間差異 (以秒為單位)。預設為 600 秒。 允許的系統 CPU 上限 指出一分鐘內允許的平均系統 CPU 使用率上限。 超過設定的 CPU 限制時,將不允許新的工作階段,且用戶端會收到 HTTP 503 錯誤,以指出 Unified Access Gateway 應用裝置暫時超載。此外,超出限制還會允許負載平衡器將 Unified Access Gateway 應用裝置標記為關閉,使得系統可將新要求導向至其他 Unified Access Gateway 應用裝置。
值以百分比表示。
預設值為
100%
。加入 CEIP 啟用時,會將客戶經驗改進計劃 (「CEIP」) 資訊傳送給 VMware。如需詳細資料,請參閱加入或退出客戶經驗改進計劃。 啟用 SNMP 開啟此切換以啟用 SNMP 服務。簡易網路管理通訊協定會透過 Unified Access Gateway 收集系統統計資料、記憶體、磁碟空間使用量統計資料和通道 Edge 服務 MIB 資訊。可用的管理資訊庫 (MIB) 清單如下: - UCD-SNMP-MIB::systemStats
- UCD-SNMP-MIB::memory
- UCD-SNMP-MIB::dskTable
- VMWARE-TUNNEL-SERVER-MIB::vmwTunnelServerMIB
SNMP 版本 選取所需的 SNMP 版本。 備註: 如果您已透過 PowerShell 部署 Unified Access Gateway,已啟用 SNMP 但未透過 PowerShell 或 Unified Access Gateway 管理員 UI 設定 SNMPv3 設定,則依預設會使用 SNMPv1 和 SNMPV2c 版本。若要在管理員 UI 中設定 SNMPv3 設定,請參閱使用 Unified Access Gateway 管理員 UI 設定 SNMPv3。
若要透過 PowerShell 部署設定 SNMPv3 設定,則必須將特定的 SNMPv3 設定新增至 INI 檔案。請參閱使用 PowerShell 來部署 Unified Access Gateway 應用裝置。
管理員免責聲明文字 根據貴組織的使用者合約原則輸入免責聲明文字。 若要讓管理員成功登入 Unified Access Gateway 管理員 UI,管理員必須接受合約原則。
您可以透過 PowerShell 部署或使用 Unified Access Gateway 管理員 UI 來設定免責聲明文字。如需有關 INI 檔案中 PowerShell 設定的詳細資訊,請參閱使用 PowerShell 來部署 Unified Access Gateway 應用裝置。
使用 Unified Access Gateway 管理員 UI 來設定此文字方塊時,管理員必須先登入管理員 UI,然後再設定免責聲明文字。在後續的管理員登入時,系統會顯示該文字供管理員在存取登入頁面之前接受。
DNS 輸入新增至 /run/systemd/resolve/resolv.conf 組態檔的網域名稱系統位址。其中必須包含有效的 DNS 搜尋位址。按一下「+」可新增新的 DNS 位址。 DNS 搜尋 輸入新增至 /run/systemd/resolve/resolv.conf 組態檔的網域名稱系統搜尋。其中必須包含有效的 DNS 搜尋位址。按一下「+」可新增新的 DNS 搜尋項目。 與主機的時間同步 使用此切換可將 Unified Access Gateway 應用裝置上的時間與 ESXi 主機的時間同步。 依預設,會關閉此切換。
此選項使用 VMware Tools 進行時間同步,且僅在 Unified Access Gateway 部署於 ESXi 主機上時才受支援。
如果選擇此選項進行時間同步,則會停用 NTP Servers 和 FallBack NTP Servers 選項。
可透過在 INI 檔案中新增 hostClockSyncEnabled 參數,以透過 PowerShell 設定此選項。請參閱使用 PowerShell 來部署 Unified Access Gateway 應用裝置。
NTP 伺服器 網路時間通訊協定同步的 NTP 伺服器。您可以輸入有效的 IP 位址和主機名稱。任何從 systemd-networkd.service 組態或透過 DHCP 取得的每一介面 NTP 伺服器,其優先順序都會高於這些組態。按一下「+」可新增新的 NTP 伺服器。 如果選擇此選項進行時間同步,則會停用 Time Sync With Host。
後援 NTP 伺服器 用於網路時間通訊協定同步化的後援 NTP 伺服器。如果找不到 NTP 伺服器資訊,將會使用這些後援 NTP 伺服器的主機名稱或 IP 位址。按一下「+」可新增新的後援 NTP 伺服器。 如果選擇此選項進行時間同步,則會停用 Time Sync With Host。
延伸的伺服器憑證驗證 啟用此切換可確保 Unified Access Gateway 對收到的 SSL 伺服器憑證執行延伸驗證,以便建立連線至後端伺服器的輸出 TLS 連線。 延伸檢查包括驗證憑證到期、主機名稱不相符、憑證撤銷狀態和延伸金鑰使用值。
依預設會停用此選項。
可透過在 ini 檔案中新增 extendedServerCertValidationEnabled 參數,以透過 PowerShell 設定此選項。請參閱使用 PowerShell 來部署 Unified Access Gateway 應用裝置。
SSH 公開金鑰 在使用公開-私密金鑰配對選項時,上傳公開金鑰以啟用對 Unified Access Gateway 虛擬機器的根使用者存取權。 管理員可將多個唯一的公用金鑰上傳至 Unified Access Gateway。
僅在部署期間將下列 SSH 選項設定為
true
時,此欄位才會在管理員 UI 中顯示:啟用 SSH 和允許使用金鑰配對的 SSH 根使用者登入。如需這些選項的相關資訊,請參閱使用 OVF 範本精靈來部署 Unified Access Gateway。 - 按一下儲存。
下一步
針對 Unified Access Gateway 部署時所搭配的元件設定 Edge Service 設定。設定 Edge 設定之後,請設定驗證設定。