您可以設定用來從管理員組態頁面加密用戶端與 Unified Access Gateway 應用裝置之間通訊的安全性通訊協定和密碼編譯演算法。

必要條件

  • 檢閱 Unified Access Gateway 部署內容。需要下列設定資訊:
    • Unified Access Gateway 應用裝置的靜態 IP 位址
    • DNS 伺服器的 IP 位址
      備註: 最多可以指定兩個 DNS 伺服器 IP 位址。

      僅在未隨著組態設定或透過 DHCP 向 Unified Access Gateway 提供任何 DNS 伺服器位址時,Unified Access Gateway 才會使用平台預設後援公用 DNS 位址。

    • 管理主控台的密碼
    • Unified Access Gateway 應用裝置所指向的伺服器執行個體或負載平衡器的 URL
    • 儲存事件記錄檔的 Syslog 伺服器 URL

程序

  1. 在管理員 UI 的 [手動設定] 區段中,按一下選取
  2. 在 [進階設定] 區段中,按一下系統組態齒輪圖示。
  3. 編輯下列 Unified Access Gateway 應用裝置組態值。
    選項 預設值和說明
    UAG 名稱 唯一的 Unified Access Gateway 應用裝置名稱。
    備註: 應用裝置名稱可包含最多 24 個字元的文字字串,其中包括字母 (A-Z)、數字 (0-9)、減號 (-) 和句號 (.)。但是,應用裝置名稱不可包含空格。
    地區設定

    指定在產生錯誤訊息時使用的語言設定。

    • en_US 表示美式英文。這是預設值。
    • ja_JP 表示日文
    • fr_FR 表示法文
    • de_DE 表示德文
    • zh_CN 表示簡體中文
    • zh_TW 表示繁體中文
    • ko_KR 表示韓文
    • es 表示西班牙文
    • pt_BR 表示葡萄牙文 (巴西)
    • en_GB 表示英式英文
    TLS 伺服器加密套件 輸入以逗號分隔的加密套件清單,這些是用於對連線至 Unified Access Gateway 的輸入 TLS 連線進行加密的密碼編譯演算法

    此選項與在啟用各種安全性通訊協定時使用的其他幾個選項結合使用,例如,TLS 版本、具名群組、簽章配置等。

    FIPS 模式下支援的 TLS 伺服器加密套件如下所示:
    • 預設啟用的加密套件:
      • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
      • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    • 受支援且可手動設定的加密套件:
      • TLS_RSA_WITH_AES_256_CBC_SHA256
      • TLS_RSA_WITH_AES_128_CBC_SHA256
      • TLS_RSA_WITH_AES_256_CBC_SHA
      • TLS_RSA_WITH_AES_128_CBC_SHA
    在非 FIPS 模式下支援的預設 TLS 伺服器加密套件如下所示:
    • TLS_AES_128_GCM_SHA256
    • TLS_AES_256_GCM_SHA384
    • TLS_CHACHA20_POLY1305_SHA256
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    可透過在 ini 檔案中新增 cipherSuites 參數,在 PowerShell 部署期間設定此選項。請參閱執行 PowerShell 指令碼來部署

    TLS 用戶端加密套件 輸入以逗號分隔的加密套件清單,這些是用於對連線至 Unified Access Gateway 的輸出 TLS 連線進行加密的密碼編譯演算法

    此選項與在啟用各種安全性通訊協定時使用的其他幾個選項結合使用,例如,TLS 版本、具名群組、簽章配置等。

    在 FIPS 模式下,支援以下加密套件:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
    • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
    • TLS_RSA_WITH_AES_256_CBC_SHA256
    • TLS_RSA_WITH_AES_128_CBC_SHA256
    • TLS_RSA_WITH_AES_256_CBC_SHA
    • TLS_RSA_WITH_AES_128_CBC_SHA

    在非 FIPS 模式下,依預設可以使用 SSL 程式庫 (Java/Open SSL) 支援的所有加密套件。

    可透過在 ini 檔案中新增 outboundCipherSuites 參數,在 PowerShell 部署期間設定此選項。請參閱執行 PowerShell 指令碼來部署

    SHA 雜湊大小下限 為通訊期間的 Horizon 通訊協定和所有非 Horizon 連線,以及為憑證指紋規格,選取 SHA 雜湊大小下限。

    預設值為 SHA-256。支援的 SHA 雜湊大小值為:SHA-1、SHA-256、SHA-384 和 SHA-512。不建議使用 SHA-1。

    啟用 TLS 1.1 依預設,會關閉此切換。

    開啟此切換以啟用 TLS 1.1 安全性通訊協定。

    啟用 TLS 1.2 依預設,將開啟此切換。

    TLS 1.2 安全性通訊協定已啟用。

    啟用 TLS 1.2 和 TLS 1.3 (僅限非 FIPS) 依預設,將開啟此切換。

    會啟用 TLS 1.2 和 TLS 1.3 安全通訊協定。

    SSL 提供者 選取用於處理 TLS 連線的 SSL 提供者實作。

    若要設定 TLS Named GroupsTLS Signature Schemes,此選項的值必須為 JDK。依預設,此選項的值為 OPENSSL

    備註: 當此選項的值為 JDK 時,不支援 OCSP 式的憑證撤銷檢查。但是,支援 CRL 式的憑證撤銷檢查。

    對此選項進行任何變更都會導致 Unified Access Gateway 服務重新啟動。重新啟動期間不會保留正在進行的 Unified Access Gateway 工作階段。

    可透過在 ini 檔案中新增 sslProvider 參數,在 PowerShell 部署期間設定此選項。請參閱執行 PowerShell 指令碼來部署

    TLS 具名群組 允許管理員從在 SSL 信號交換期間用於金鑰交換的受支援具名群組清單中設定所需的具名群組 (橢圓曲線)。

    此選項允許以逗號分隔的值。部分受支援的具名群組如下所示:secp256r1, secp384r1, secp521r1

    若要設定此選項,請確保將 SSL Provider 選項設定為 JDK。否則,將停用 TLS Named Groups 選項。對此選項進行任何變更都會導致 Unified Access Gateway 服務重新啟動。重新啟動期間不會保留正在進行的 Unified Access Gateway 工作階段。

    可透過在 ini 檔案中新增 tlsNamedGroups 參數,在 PowerShell 部署期間設定此選項。請參閱執行 PowerShell 指令碼來部署

    TLS 簽章配置 允許管理員設定在 SSL 信號交換期間用於金鑰驗證的受支援 TLS 簽章演算法。

    此選項允許以逗號分隔的值。例如,部分受支援的簽章配置如下所示:rsa_pkcs1_sharsa_pkcs1_sha256rsa_pkcs1_sha384rsa_pss_rsae_sha256rsa_pss_rsae_sha384

    若要設定此選項,請確保將 SSL Provider 選項設定為 JDK。否則,將停用 TLS Signature Schemes 選項。對此選項進行任何變更都會導致 Unified Access Gateway 服務重新啟動。重新啟動期間不會保留正在進行的 Unified Access Gateway 工作階段。

    可透過在 ini 檔案中新增 tlsSignatureSchemes 參數,在 PowerShell 部署期間設定此選項。請參閱執行 PowerShell 指令碼來部署

    允許的主機標頭 輸入可作為主機標頭值的 IP 位址和/或主機名稱。此設定適用於 Unified Access Gateway 上的 Horizon、Web 反向 Proxy 使用案例和管理服務。依預設,會根據在此欄位中設定的值,以及動態計算的自動允許清單 (以 UAG 的網路設定和 Edge 服務設定為基礎),來啟用主機 (或 X-Forwarded-Host) 標頭的驗證。

    用來直接存取、透過負載平衡器存取或反向 Proxy 存取 Unified Access Gateway 的主機名稱,只要未包含在自動允許清單中,都應在此欄位中設定。

    對於採用 Horizon 的 Unified Access Gateway,如果啟用了 Blast 安全閘道 (BSG) 和/或 VMware Tunnel,並且設定了外部 URL,則這些值會自動包含在允許的主機值清單中。不需要明確設定這些值。

    對於具有 Web 反向 Proxy 組態的 Unified Access Gateway 部署,外部 URL 和 Proxy 主機模式會包含在自動允許的主機值清單中。

    使用 N+1 虛擬 IP (VIP) 來部署 Unified Access Gateway 時,該虛擬 IP 會包含在自動允許清單中。此外,UAG 的非回送 IP 位址和內部主機名稱也會包含在此清單中,且依預設,允許這些位址和主機名稱。

    CA 憑證 新增了 Syslog 伺服器時,便會啟用此選項。請選取有效的 Syslog 憑證授權機構的憑證。
    健全狀況檢查 URL 輸入負載平衡器連線到的 URL,並檢查 Unified Access Gateway 的健全狀況。
    HTTP 健全狀況監視器 依預設,會關閉此切換。預設組態會將 HTTP 健全狀況檢查 URL 要求重新導向到 HTTPS。開啟此切換時,即使在 HTTP 上,Unified Access Gateway 也會回應健全狀況檢查要求。
    要快取的 Cookie Unified Access Gateway 快取的 Cookie 集。預設值為 [無]。
    工作階段逾時 預設值為 36000000 毫秒。
    備註: Unified Access Gateway 上的 Session Timeout 值必須與 Horizon Connection ServerForcibly disconnect users 設定的值相同。

    Forcibly disconnect users 設定是 Horizon Console 中的其中一個一般全域設定。如需此設定的詳細資訊,請參閱 VMware Docs《VMware Horizon 管理》說明文件的〈設定用戶端工作階段的設定〉

    靜止模式 開啟此切換以暫停 Unified Access Gateway 應用裝置,達成一致的狀態來執行維護工作
    監控間隔 預設值為 60
    啟用 SAML 憑證變換支援 開啟此切換以產生憑證型實體識別碼的 SAML SP 中繼資料。憑證型實體識別碼支援在 IDP 上使用單獨的 SP 組態進行更順暢的憑證變換。若要變更此值,您必須重新設定 IDP。
    密碼使用期限 管理員角色中使用者的密碼有效天數。

    預設值為 90 天。可設定的最大值為 999 天。

    若要讓密碼永不到期,請指定此欄位的值為 0

    監控使用者密碼使用期限 監控角色中使用者的密碼有效天數。

    預設值為 90 天。可設定的最大值為 999 天。

    若要讓密碼永不到期,請指定此欄位的值為 0

    要求逾時 指出 Unified Access Gateway 等候要接收要求的時間上限。

    預設值為 3000

    必須以毫秒為單位指定此逾時。

    本文接收逾時 指出 Unified Access Gateway 等候要接收要求本文的時間上限。

    預設值為 5000

    必須以毫秒為單位指定此逾時。

    每個工作階段的連線數目上限 每個 TLS 工作階段允許的 TCP 連線數目上限。

    預設值為 16

    若要讓允許的 TCP 連線數目沒有限制,請將此欄位的值設為 0

    備註: 8 或更低的欄位值會導致 Horizon Client 中發生錯誤。
    用戶端連線閒置逾時 指定關閉連線之前,用戶端連線可以維持閒置的時間 (以秒為單位)。預設值為 360 秒 (6 分鐘)。零值表示無閒置逾時。
    驗證逾時

    等待時間上限 (以毫秒為單位),在此之前必須進行驗證。預設值為 300000。如果指定 0,則表示驗證沒有時間限制。

    時鐘誤差容錯 輸入 Unified Access Gateway 時鐘與相同網路上其他時鐘之間允許的時間差異 (以秒為單位)。預設為 600 秒。
    允許的系統 CPU 上限 指出一分鐘內允許的平均系統 CPU 使用率上限。

    超過設定的 CPU 限制時,將不允許新的工作階段,且用戶端會收到 HTTP 503 錯誤,以指出 Unified Access Gateway 應用裝置暫時超載。此外,超出限制還會允許負載平衡器將 Unified Access Gateway 應用裝置標記為關閉,使得系統可將新要求導向至其他 Unified Access Gateway 應用裝置。

    值以百分比表示。

    預設值為 100%

    加入 CEIP 啟用時,會將客戶經驗改進計劃 (「CEIP」) 資訊傳送給 VMware。
    啟用 SNMP 開啟此切換以啟用 SNMP 服務。簡易網路管理通訊協定會透過 Unified Access Gateway 收集系統統計資料、記憶體、磁碟空間使用量統計資料和通道 Edge 服務 MIB 資訊。可用的管理資訊庫 (MIB) 清單如下:
    • UCD-SNMP-MIB::systemStats
    • UCD-SNMP-MIB::memory
    • UCD-SNMP-MIB::dskTable
    • VMWARE-TUNNEL-SERVER-MIB::vmwTunnelServerMIB
    SNMP 版本 選取所需的 SNMP 版本。

    如果選取 SNMPv1+v2 作為 SNMP 通訊協定,您可以新增自訂 SNMP 社群名稱。

    備註: 您必須先啟用 SNMP,才能設定 Tunnel。如果您在設定 Tunnel 之後才啟用 SNMP,則必須重新儲存 Tunnel 設定,SNMP 設定才能生效。

    如果您已透過 PowerShell 部署 Unified Access Gateway,已啟用 SNMP 但未透過 PowerShell 或 Unified Access Gateway 管理員 UI 設定 SNMPv3 設定,則依預設會使用 SNMPv1+SNMPV2c 版本。

    以下是在管理員 UI 中設定 SNMPv3 設定的其他步驟:
    1. 輸入 SNMPv3 USM 使用者名稱。
    2. 輸入 SNMP 引擎識別碼

      此值對於每個 Unified Access Gateway 應用裝置都是唯一的。

      引擎識別碼的長度上限為 27 個字元。

    3. 選取 SNMPv3 安全性層級
    4. 根據在上一個步驟中選取的安全性層級,執行下列動作:
    安全性層級 動作
    No Auth, No Priv

    (無驗證、無隱私權)

    按一下儲存

    無需執行進一步動作。

    Auth, No Priv

    (驗證、無隱私權)

    1. 選取 SNMPv3 驗證演算法
    2. 輸入 SNMPv3 驗證密碼

      密碼的長度至少必須有 8 個字元。

    3. 確認在上一個步驟中輸入的驗證密碼
    4. 按一下儲存
    Auth, Priv

    (驗證、隱私權)

    1. 選取 SNMPv3 驗證演算法

      支援的值如下:MD5 (Not Recommended)SHA (Not Recommended)SHA-224SHA-256SHA-384SHA-512

    2. 輸入 SNMPv3 驗證密碼

      密碼的長度至少必須有 8 個字元。

    3. 確認在上一個步驟中輸入的驗證密碼
    4. 選取 SNMPv3 隱私權演算法

      支援的值為 DESAES

    5. 選取 SNMPv3 隱私權密碼

      密碼的長度至少必須有 8 個字元。

    6. 確認在上一個步驟中輸入的隱私權密碼
    7. 按一下儲存
    SNMP 社群 輸入要使用的自訂 SNMP 社群名稱。如果此欄位保留空白,則會使用 [公用]。
    管理員免責聲明文字 根據貴組織的使用者合約原則輸入免責聲明文字。

    若要讓管理員成功登入 Unified Access Gateway 管理員 UI,管理員必須接受合約原則。

    您可以透過 PowerShell 部署或使用 Unified Access Gateway 管理員 UI 來設定免責聲明文字。如需有關 INI 檔案中 PowerShell 設定的詳細資訊,請參閱執行 PowerShell 指令碼來部署

    使用 Unified Access Gateway 管理員 UI 來設定此文字方塊時,管理員必須先登入管理員 UI,然後再設定免責聲明文字。在後續的管理員登入時,系統會顯示該文字供管理員在存取登入頁面之前接受。

    DNS 輸入新增至 /run/systemd/resolve/resolv.conf 組態檔的網域名稱系統位址。其中必須包含有效的 DNS 搜尋位址。按一下「+」可新增新的 DNS 位址。
    DNS 搜尋 輸入新增至 /run/systemd/resolve/resolv.conf 組態檔的網域名稱系統搜尋。其中必須包含有效的 DNS 搜尋位址。按一下「+」可新增新的 DNS 搜尋項目。
    與主機的時間同步 使用此切換可將 Unified Access Gateway 應用裝置上的時間與 ESXi 主機的時間同步。

    依預設,會關閉此切換。

    此選項使用 VMware Tools 進行時間同步,且僅在 Unified Access Gateway 部署於 ESXi 主機上時才受支援。

    如果選擇此選項進行時間同步,則會停用 NTP ServersFallBack NTP Servers 選項。

    可透過在 INI 檔案中新增 hostClockSyncEnabled 參數,以透過 PowerShell 設定此選項。請參閱執行 PowerShell 指令碼來部署

    NTP 伺服器 網路時間通訊協定同步的 NTP 伺服器。您可以輸入有效的 IP 位址和主機名稱。任何從 systemd-networkd.service 組態或透過 DHCP 取得的每一介面 NTP 伺服器,其優先順序都會高於這些組態。按一下「+」可新增新的 NTP 伺服器。

    如果選擇此選項進行時間同步,則會停用 Time Sync With Host

    後援 NTP 伺服器 用於網路時間通訊協定同步化的後援 NTP 伺服器。如果找不到 NTP 伺服器資訊,將會使用這些後援 NTP 伺服器的主機名稱或 IP 位址。按一下「+」可新增新的後援 NTP 伺服器。

    如果選擇此選項進行時間同步,則會停用 Time Sync With Host

    延伸的伺服器憑證驗證 啟用此切換可確保 Unified Access Gateway 對收到的 SSL 伺服器憑證執行延伸驗證,以便建立連線至後端伺服器的輸出 TLS 連線。

    延伸檢查包括驗證憑證到期、主機名稱不相符、憑證撤銷狀態和延伸金鑰使用值。

    依預設會停用此選項。

    可透過在 ini 檔案中新增 extendedServerCertValidationEnabled 參數,以透過 PowerShell 設定此選項。請參閱執行 PowerShell 指令碼來部署

    SSH 公開金鑰 在使用公開-私密金鑰配對選項時,上傳公開金鑰以啟用對 Unified Access Gateway 虛擬機器的根使用者存取權。

    管理員可將多個唯一的公開金鑰上傳至 Unified Access Gateway

    僅在部署期間將下列 SSH 選項設定為 true 時,此欄位才會在管理員 UI 中顯示:啟用 SSH允許使用金鑰配對的 SSH 根使用者登入。如需這些選項的相關資訊,請參閱使用 OVF 範本精靈部署到 vSphere

  4. 按一下儲存

下一步

針對 Unified Access Gateway 部署時所搭配的元件設定 Edge Service 設定。設定 Edge 設定之後,請設定驗證設定。