您必須設定 Unified Access Gateway 應用裝置的 TLS/SSL 憑證。用戶端在連線至 Unified Access Gateway 應用裝置時必須使用 TLS/SSL。面向用戶端的 Unified Access Gateway 應用裝置和終止 TLS/SSL 連線的中繼伺服器需要 TLS/SSL 伺服器憑證。
TLS/SSL 伺服器憑證是由憑證授權機構 (CA) 簽署。CA 是一個受信任的實體,可保證憑證的身分及其建立者。當憑證是由信任的 CA 簽署時,使用者不會再收到要求他們確認憑證的訊息,而精簡型用戶端裝置可以連線,無需要求額外組態。
備註: 設定
Unified Access Gateway 應用裝置的 TLS/SSL 憑證僅適用於
Horizon 及 Web 反向 Proxy。
當您部署 Unified Access Gateway 應用裝置時就會產生預設的 TLS/SSL 伺服器憑證。針對生產環境,VMware 建議您盡快取代預設憑證。預設憑證並非由信任的 CA 所簽署。僅在非生產環境中使用預設憑證。
VMware 建議對 TLS 伺服器使用以 RSA 金鑰為基礎的憑證。憑證和私密金鑰可以作為 PKCS12/PFX 金鑰儲存區提供,也可以 PEM 格式提供個別私密金鑰和憑證鏈結檔。
若要將 PKCS12/PFX 轉換為 PEM 格式的憑證鏈結檔,請執行以下
openssl
命令:
openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercert.pem若要將 PKCS12/PFX 轉換為 PEM 格式的私密金鑰檔,請執行以下
openssl
命令:
openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pem以 PEM 格式提供憑證和金鑰時,私密金鑰必須採用 PKCS1 格式。若要將私密金鑰從 PKCS8 轉換為 PKCS1(從 BEGIN PRIVATE KEY 格式到 BEGIN RSA PRIVATE KEY 格式),請執行下列
openssl
命令:
openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem
管理員 UI 中的 TLS 伺服器憑證設定
- 在 UAG 管理主控台的手動設定區段中,按一下選取。
- 在TLS 伺服器憑證設定齒輪圖示。
會顯示管理員憑證和網際網路憑證的詳細資料。
區段中,選取 - 按一下齒輪圖示以修改憑證。
- 選取要套用憑證的介面 (管理員及/或網際網路)。
- 對於 [憑證類型],請選取 PEM 或 PFX
對於 PEM,選取私密金鑰和憑證鏈結。
對於 PFX,選取要上傳的 PFX 憑證,然後輸入 PFX 密碼和別名。
- 按一下儲存。