Horizon 搭配使用的 Unified Access Gateway 符合 NIAP/CSfC,且驗證需要在 Unified Access Gateway 應用裝置中進行實施 NIAP/CSfC 作業所需的特定組態設定。

組態設定變更如下所示:

  1. VMware vSphere 7 或更新版本上部署 FIPS 版本的 Unified Access Gateway
  2. 在部署期間設定以下參數。
    備註: 只能在部署時設定這些參數。如果在部署期間未設定這些參數, Unified Access Gateway 將包含預設值。
    參數 說明
    Root Password Management Policies
    passwordPolicyMinLen 根密碼的長度下限
    passwordPolicyMinClass 根密碼的複雜性下限
    rootPasswordExpirationDays 經過多少天後就必須強制重設根密碼
    passwordPolicyFailedLockout 嘗試登入失敗幾次之後,即暫時鎖定根使用者的存取權
    passwordPolicyUnlockTime 在暫時鎖定後,經歷幾秒即解除鎖定根使用者
    rootSessionIdleTimeoutSeconds 根使用者的閒置工作階段會在經歷幾秒後到期
    Admin Password Management Policies
    adminpasswordPolicyMinLen 管理員密碼的長度下限
    adminpasswordPolicyFailedLockoutCount 嘗試登入失敗幾次之後,即暫時鎖定管理員使用者的存取權
    adminpasswordPolicyUnlockTime

    在暫時鎖定後,經歷幾秒即解除鎖定管理員使用者
    adminSessionIdleTimeoutMinutes 管理員使用者的閒置工作階段會在經歷幾秒後到期
    Other Parameters
    登入橫幅文字

    在 SSH 或 Web 主控台登入期間要顯示的橫幅文字
    SecureRandom 來源

    此參數必須設定為 /dev/random

    如需有關這些參數及其值的詳細資訊,請參閱 VMware Docs《部署及設定 VMware Unified Access Gateway 指南》中的執行 PoweShell 指令碼以部署 Unified Access Gateway

  3. 為 TLS 憑證產生 CSR,並繫結 Unified Access Gateway 管理員介面和公用介面的簽署憑證。如需詳細資訊,請參閱 VMware Docs《部署及設定 VMware Unified Access Gateway 指南》中的使用 uagcertutil 命令產生 CSR 和私密金鑰
    備註: 請確定憑證鏈中的所有憑證都具有 SHA-384 簽章。憑證與 [系統設定] 下 [TLS 組態] 中的任何簽章演算法只要有任何的不相符,都可能導致 TLS 信號交換失敗,並失去對伺服器的存取權。
  4. 在管理員 UI 的 [系統組態] 區段中設定以下參數。如需有關這些參數的詳細資訊,請參閱 VMware Docs《部署及設定 VMware Unified Access Gateway 指南》中的設定 Unified Access Gateway 系統設定
    1. TLS 伺服器加密套件設定為 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    2. TLS 用戶端加密套件設定為 
      TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
    3. SSL 提供者設定為 JDK
    4. 將 [TLS 具名群組] 設定為 secp256r1,secp384r1,secp521r1,ffdhe2048,ffdhe3072,ffdhe4096,ffdhe6144,ffdhe8192
    5. TLS 簽章配置設定為 rsa_pkcs1_sha384
    6. 設定管理員免責聲明文字
    7. 開啟與主機的時間同步切換。
    8. 開啟延伸的伺服器憑證驗證切換。
      備註: Unified Access Gateway 不支援 CRL 使用 LDAP URL,僅支援 HTTP URL。
  5. 使用 TLS 通訊協定進行 Syslog 伺服器設定。如需有關這些設定的詳細資訊,請參閱 VMware Docs《部署及設定 VMware Unified Access Gateway 指南》中的設定 Syslog 伺服器設定
    備註: Syslog 伺服器憑證的 extendedKeyUsage 必須標記為 critical extension
      1. 按一下選取,上傳 Syslog TLS 用戶端憑證TLS Syslog 用戶端憑證金鑰
      2. 開啟 Syslog 包括系統訊息切換。
      3. 按一下新增 Syslog 項目,將新的 Syslog 項目新增至表格並提供以下詳細資料。
        1. 類別設定為 All Events
        2. 通訊協定設定為 TLS
        3. 新增 Syslog 伺服器主機連接埠
      4. 按一下選取,上傳受信任的 CA 憑證
      5. 按一下新增以儲存新項目,然後按一下儲存以儲存 Syslog 設定。
  6. 設定並啟用 X509 憑證驗證設定。如需有關這些設定的詳細資訊,請參閱 VMware Docs《部署及設定 VMware Unified Access Gateway 指南》中的在 Unified Access Gateway 上設定憑證驗證
    1. 開啟 [驗證設定] 下的 X.509 憑證組態。
    2. 開啟啟用 X.509 憑證切換。
    3. 按一下選取,以 PEM 格式上傳用戶端的受信任根憑證和中繼 CA 憑證
    4. 開啟憑證撤銷切換。
    5. 設定以 CRL 為基礎的憑證撤銷檢查。您可以設定 URL 以擷取 CRL,也可以設定為從憑證鏈結本身讀取詳細資料。
    6. 儲存 X.509 憑證驗證設定組態。
  7. 產生 SAML 身分識別提供者設定,並進行 SAML 服務提供者設定。
    1. 開啟 SAML 設定,並展開 SAML 身分識別提供者設定。
    2. 上傳私密金鑰憑證鏈結 (使用 RSA+SHA384 演算法簽署),以產生身分識別提供者設定。如需詳細資訊,請參閱 VMware Docs《部署及設定 VMware Unified Access Gateway 指南》中的產生 Unified Access Gateway SAML 中繼資料
    3. 提供 Unified Access Gateway 的外部主機名稱,下載已產生的身分識別提供者設定 XML。
    4. 上傳位於連線伺服器的 XML 檔案並下載 SAML 中繼資料 XML。如需詳細資訊,請參閱 VMware Docs 上的 VMware Horizon 產品說明文件中的設定 SAML 驗證來與 True SSO 搭配使用
    5. 開啟 [SAML 設定],並展開 [SAML 服務提供者] 設定。
    6. 輸入服務提供者名稱,然後貼上 SAML 中繼資料 XML 內容。如需詳細資訊,請參閱 VMware Docs《部署及設定 VMware Unified Access Gateway 指南》中的將服務提供者 SAML 中繼資料複製到 Unified Access Gateway
    7. 儲存 SAML 服務提供者設定。