使用組態精靈設定 VMware Tunnel 代理伺服器。在精靈中設定的選項會封裝在安裝程式中,您可以從 Workspace ONE UEM 主控台下載取得,並移至通道伺服器。

在 UEM Console 的群組和設定 > 所有設定 > 系統 > 企業整合 > VMware Tunnel > 代理伺服器下方設定 VMware Tunnel 代理伺服器。精靈會引導您逐步完成安裝程式組態。在精靈中設定的選項會封裝在安裝程式中,您可以從 Workspace ONE UEM 主控台下載取得,並移至通道伺服器。變更此精靈中的詳細資料時,通常必須使用新組態重新安裝 VMware Tunnel

若要設定 VMware Tunnel 代理伺服器,您需要預計要安裝之伺服器的詳細資料。在組態之前,請先確認部署模型、一或多個主機名稱和連接埠,以及要實作的 VMware Tunnel 功能,例如存取記錄整合、SSL 卸載,以及企業憑證授權機構整合等。
備註: 精靈會根據您的選取項目動態顯示適當的選項,組態畫面可能會顯示不同的文字方塊和選項。

程序

  1. 導覽至群組和設定 > 所有設定 > 系統 > 企業整合 > VMware Tunnel > 代理伺服器
    • 如果這是您第一次設定 VMware Tunnel,請選取設定,並依照組態精靈畫面的指示操作。
    • 如果這不是您第一次設定 VMwareTunnel,請選取覆寫,然後選取啟用 VMware Tunnel 切換開關,再選取設定
  2. 部署類型畫面上,選取啟用 Proxy (Windows 和 Linux) 切換開關,然後使用 Proxy 組態類型下拉式功能表選取您要設定的元件。
  3. 在顯示的下拉式功能表中,選取您要設定轉送端點還是 Proxy 組態類型部署。選取資訊圖示可查看所選類型的範例。
  4. 選取下一步
  5. 詳細資料畫面中,進行下列設定。詳細資料畫面上顯示的選項,取決於您在 Proxy 組態類型下拉式功能表中選取的組態類型。
    • 基本 Proxy 組態類型中,請輸入下列資訊:
    設定 說明
    主機名稱 輸入通道伺服器之公用主機名稱的 FQDN,例如 tunnel.acmemdm.com。此主機名稱必須是公用的,因為這是裝置從網際網路連線到的 DNS。
    轉送連接埠 Proxy 服務會安裝在此連接埠上。裝置會連線至 <轉送主機名稱>:<連接埠> 以使用 VMware Tunnel 代理伺服器功能。預設值為 2020。
    轉送主機名稱 (僅限轉送端點)。輸入通道轉送伺服器之公用主機名稱的 FQDN,例如 tunnel.acmemdm.com。此主機名稱必須是公用的,因為這是裝置從網際網路連線到的 DNS。
    啟用 SSL 卸載 如果您想要使用「SSL 卸載」來減輕對來自 VMware Tunnel 伺服器流量進行加密和解密時的負荷,請選取此核取方塊。
    使用 Kerberos Proxy

    啟用 Kerberos Proxy 支援,可允許存取目標後端 Web 服務的 Kerberos 驗證。此功能目前不支援 Kerberos 限制委派 (KCD)。如需詳細資訊,請參閱設定 Kerberos Proxy 設定

    端點伺服器必須位於與 KDC 相同的網域,Kerberos Proxy 才能成功與 KDC 進行通訊。

    • 如果您選擇轉送端點 Proxy 組態類型,請輸入下列資訊:
    設定 說明
    轉送主機名稱 (僅限轉送端點)。輸入通道轉送伺服器之公用主機名稱的 FQDN,例如 tunnel.acmemdm.com。此主機名稱必須是公用的,因為這是裝置從網際網路連線到的 DNS。
    端點主機名稱

    通道端點伺服器的內部 DNS。此值是轉送伺服器在轉送端點連接埠上連線到的主機名稱。如果您打算在 SSL 卸載伺服器上安裝 VMware Tunnel,請輸入該伺服器的名稱來取代主機名稱

    輸入主機名稱時請勿包含通訊協定,例如 http://、https:// 等。

    轉送連接埠 Proxy 服務會安裝在此連接埠上。裝置會連線至 <轉送主機名稱>:<連接埠> 以使用 VMware Tunnel 代理伺服器功能。預設值為 2020。
    端點連接埠

    (僅限轉送端點)。此值是 VMware Tunnel 轉送與 VMware Tunnel 端點之間通訊所使用的連接埠。預設值為 2010。

    如果您使用 Proxy 和每一應用程式通道的組合,則轉送端點會安裝為階層式模式之前端伺服器的一部分。連接埠應為不同的值。

    啟用 SSL 卸載 如果您想要使用「SSL 卸載」來減輕對來自 VMware Tunnel 伺服器流量進行加密和解密時的負荷,請選取此核取方塊。
    使用 Kerberos Proxy

    啟用 Kerberos Proxy 支援,可允許存取目標後端 Web 服務的 Kerberos 驗證。此功能目前不支援 Kerberos 限制委派 (KCD)。如需詳細資訊,請參閱設定 Kerberos Proxy 設定

    端點伺服器必須位於與 KDC 相同的網域,Kerberos Proxy 才能成功與 KDC 進行通訊。

    領域欄位中,輸入 KDC 伺服器的領域。

  6. 選取下一步
  7. SSL 畫面上,您可以設定公用 SSL 憑證,以保護裝置上已啟用應用程式對 VMware Tunnel 的用戶端-伺服器通訊。依預設,此設定會使用 AirWatch 憑證來保護伺服器-用戶端的通訊。
    1. 如果您想要將第三方 SSL 憑證用於 Workspace ONE Web 或具有 SDK 功能之應用程式與 VMware Tunnel 伺服器之間的加密,請選取使用公用 SSL 憑證選項。
    2. 選取上傳以上傳 .PFX 或 .P12 憑證檔案,並輸入密碼。此檔案必須同時包含您的公開和私密金鑰配對。CER 和 CRT 檔案不受支援。
  8. 選取下一步
  9. 驗證畫面上設定下列設定,以選取裝置用來向 VMware Tunnel 進行驗證的憑證。
    依預設,所有元件會都使用 AirWatch 核發的憑證。若要將企業 CA 憑證用於用戶端-伺服器驗證,請選取 企業 CA 選項。
    1. 選取預設可使用 AirWatch 核發的憑證。AirWatch 核發的預設用戶端憑證不會自動更新。若要更新這些憑證,請將 VPN 設定檔重新發佈至用戶端憑證即將到期或已到期的裝置。請導覽至裝置 > 裝置詳細資料 > 更多 > 憑證,以檢視裝置的憑證狀態。
    2. 若要選取企業 CA 來取代 AirWatch 核發的憑證,而將其用於 Workspace ONE Web、具有每一應用程式通道功能之應用程式或具有 SDK 功能之應用程式與 VMware Tunnel 之間的驗證,您必須在設定 VMware Tunnel 之前,先在您的 Workspace ONE UEM 環境中設定憑證授權機構和憑證範本。
    3. 選取用來向 CA 要求憑證的憑證授權機構憑證範本
    4. 選取上傳,將憑證授權機構之公開金鑰的完整鏈結上傳至組態精靈。

      CA 範本的主體名稱中必須包含 CN=UDID。支援的 CA 包括 ADCS、RSA 和 SCEP。

      憑證會根據您的 CA 範本設定自動更新。

  10. 按一下新增以新增中繼憑證。
  11. 選取下一步
  12. 其他畫面上,您可以啟用 Proxy 或「每一應用程式通道」元件的存取記錄。請啟用存取記錄切換開關來設定此功能。

    如果您想要使用此功能,您必須立即將其設定為組態的一部分,因為稍後若要啟用此功能,就必須重新設定通道並重新執行安裝程式。如需這些設定的詳細資訊,請參閱 #GUID-AWT-ACCESSLOGS設定 VMware Tunnel 的進階設定

    1. Syslog 主機名稱欄位中,輸入您 Syslog 主機的 URL。此設定會在您啟用存取記錄後顯示。
    2. UDP 連接埠欄位中,輸入要用來與 syslog 主機進行通訊的連接埠。
  13. 選取下一步並檢閱組態的摘要,接著確認所有主機名稱、連接埠和設定皆正確無誤,然後選取儲存
    VMware Tunnel組態畫面上,安裝程式現已可供下載。
  14. 組態畫面上,選取一般索引標籤。一般索引標籤可讓您執行下列動作:
    1. 您可以選取測試連線以確認連線狀況。
    2. 您可以選取下載組態 XML,以 XML 檔案形式擷取現有的 VMware Tunnel 執行個體。
    3. 您可以選取下載 Unified Access Gateway 超連結。此按鈕會下載非 FIPS OVA 檔案。下載檔案也包含 PowerShell 部署方法所需的 PowerShell 指令碼和 .ini 範本檔案。您必須從「My Workspace ONE」下載 VHDX 或 FIPS OVA。
    4. 如需舊版的安裝程式方法,您可以選取下載 Windows 安裝程式
      此按鈕會下載用來部署 VMware Tunnel 伺服器的單一 BIN 檔案。安裝所需的組態 XML 檔案可在確認憑證密碼之後從 Workspace ONE UEM 主控台下載取得。
  15. 選取儲存