您必須設定 Unified Access Gateway 應用裝置的 TLS/SSL 憑證。用戶端在連線至 Unified Access Gateway 應用裝置時必須使用 TLS/SSL。面向用戶端的 Unified Access Gateway 應用裝置和終止 TLS/SSL 連線的中繼伺服器需要 TLS/SSL 伺服器憑證。

TLS/SSL 伺服器憑證是由憑證授權機構 (CA) 簽署。CA 是一個受信任的實體,可保證憑證的身分及其建立者。當憑證是由信任的 CA 簽署時,使用者不會再收到要求他們確認憑證的訊息,而精簡型用戶端裝置可以連線,無需要求額外組態。

備註: 設定 Unified Access Gateway 應用裝置的 TLS/SSL 憑證僅適用於 Horizon 及 Web 反向 Proxy。

當您部署 Unified Access Gateway 應用裝置時就會產生預設的 TLS/SSL 伺服器憑證。針對生產環境,VMware 建議您盡快取代預設憑證。預設憑證並非由信任的 CA 所簽署。僅在非生產環境中使用預設憑證。

VMware 建議對 TLS 伺服器使用以 RSA 金鑰為基礎的憑證。憑證和私密金鑰可以作為 PKCS12/PFX 金鑰儲存區提供,也可以 PEM 格式提供個別私密金鑰和憑證鏈結檔。

若要將 PKCS12/PFX 轉換為 PEM 格式的憑證鏈結檔,請執行以下 openssl 命令:
openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercert.pem
若要將 PKCS12/PFX 轉換為 PEM 格式的私密金鑰檔,請執行以下 openssl 命令:
openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pem
以 PEM 格式提供憑證和金鑰時,私密金鑰必須採用 PKCS1 格式。若要將私密金鑰從 PKCS8 轉換為 PKCS1(從 BEGIN PRIVATE KEY 格式到 BEGIN RSA PRIVATE KEY 格式),請執行下列 openssl 命令:
openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem

管理員 UI 中的 TLS 伺服器憑證設定

  1. 在 UAG 管理主控台的手動設定區段中,按一下選取
  2. 進階設定 > 身分識別橋接設定區段中,選取 TLS 伺服器憑證設定齒輪圖示。

    會顯示管理員憑證和網際網路憑證的詳細資料。

  3. 按一下齒輪圖示以修改憑證。
  4. 選取要套用憑證的介面 (管理員及/或網際網路)。
  5. 對於 [憑證類型],請選取 PEMPFX

    對於 PEM,選取私密金鑰和憑證鏈結。

    對於 PFX,選取要上傳的 PFX 憑證,然後輸入 PFX 密碼和別名。

  6. 按一下儲存