您可將多種 TLS/SSL 憑證類型用於 Unified Access Gateway。為您的部署選取正確的憑證類型十分重要。憑證類型不同,其成本也不同,端視其可使用在的伺服器數目而定。
無論您選取何種憑證類型,請務必遵循 VMware 的安全建議:針對憑證使用完整網域名稱 (FQDN)。請勿使用簡單伺服器名稱或 IP 位址,即使針對內部網域內的通訊。
單一伺服器名稱憑證
您可針對特定伺服器,產生具有主體名稱的憑證。例如:dept.example.com。
如果只有一個 Unified Access Gateway 應用裝置需要憑證,這種憑證類型就很有用。
當您提交憑證簽署要求至 CA 時,需提供要與憑證相關聯的伺服器名稱。請確定 Unified Access Gateway 應用裝置可以解析您提供的伺服器名稱,使其符合憑證關聯的名稱。
主體別名
主體別名 (SAN) 是在核發憑證時可以新增至憑證的屬性。使用此屬性新增主體名稱 (URL) 至憑證,讓憑證可以驗證多個伺服器。
例如,假設針對位於負載平衡器後面的 Unified Access Gateway 應用裝置核發了三個憑證:ap1.example.com、ap2.example.com 和 ap3.example.com。透過在此範例中新增代表負載平衡器主機名稱的主體別名,例如 horizon.example.com,憑證就能生效,因為它符合用戶端指定的主機名稱。
提交憑證簽署要求至 CA 時,請提供外部介面負載平衡器虛擬 IP 位址 (VIP) 作為一般名稱和 SAN 名稱。請確定 Unified Access Gateway 應用裝置可以解析您提供的伺服器名稱,使其符合憑證關聯的名稱。
憑證會用於連接埠 443。
萬用字元憑證
產生萬用字元憑證以用於多個服務。例如:*.example.com。
如果有多個伺服器需要憑證,萬用字元就很有用。如果除了 Unified Access Gateway 應用裝置以外,您環境中還有其他應用程式需要 TLS/SSL 憑證,您也能為這些伺服器使用萬用字元憑證。不過,如果使用與其他服務共用的萬用字元憑證,則 VMware Horizon 產品的安全性也會取決於上述其他服務的安全性。
萬用字元憑證只能用於單一網域層級。例如,具有主體名稱 *.example.com 的萬用字元憑證可以用於子網域 dept.example.com,但不能用於 dept.it.example.com。
您匯入至 Unified Access Gateway 應用裝置的憑證必須是用戶端機器信任的,也必須能夠適用於 Unified Access Gateway 的所有執行個體以及所有負載平衡器,無論是使用萬用字元還是主體別名 (SAN) 憑證。