使用此工作流程來取代在您的網繭上所部署任一閘道組態類型上的既有 SSL 憑證。如有必要,您也可以使用此工作流程來取代閘道上設定的完整網域名稱 (FQDN)。取代 SSL 憑證的一個可能原因是,閘道組態中目前既有的 SSL 憑證正接近其到期日。您可以使用 Horizon Universal Console 中的「編輯網繭」精靈來執行這些步驟。
- 您的環境已針對您在 Microsoft Azure 中的網繭設定了單一網繭代理,即會在 [代理] 頁面上表示。
- 此外,網繭會與 Workspace ONE Access 整合,如使用單一網繭代理的 Horizon Cloud 環境 — 在 Microsoft Azure 中將環境的 Horizon Cloud 網繭與 Workspace ONE Access 進行整合中所述
- 您的目標是取代 Workspace ONE Access Connector 在與網繭通訊時所使用的 SSL 憑證
然後,該使用案例需要遵循一組不同的步驟。如果您的使用案例是關於 Workspace ONE Access Connector 與您的網繭整合,請勿遵循以下步驟。這些步驟與以下步驟完全不同。如需 Workspace ONE Access Connector 整合及其需求的概觀,請參閱使用單一網繭代理的 Horizon Cloud 環境 — 在 Microsoft Azure 中使用相關 Workspace ONE Access 租用戶資訊設定 Horizon Cloud Pod 的步驟。此外,如果您的部署是極少數非典型案例,則針對您讓使用者的用戶端和瀏覽器直接連線至網繭管理員應用裝置,請勿遵循下列步驟來取代用於這些極少數案例的 SSL 憑證。如需適用於 Workspace ONE Access Connector 使用案例和極少數非典型使用案例之憑證組態的說明,請改為閱讀在 Horizon Cloud Pod 的管理員虛擬機器上設定 SSL 憑證的概觀,主要是供具有網繭的 Workspace ONE Access Connector 在單一網繭代理環境中使用。。
經過一段時間後,由於網繭的閘道是第一次為網繭部署,您可能會發現需要取代在網繭的閘道上設定的 SSL 憑證,或取代在閘道上設定的 FQDN,或兩者。一般而言,您會為使用者提供要在其 Horizon 用戶端或瀏覽器中使用,以存取其網繭佈建資源的 FQDN。如使用瀏覽器登入桌面和 RDS 型遠端應用程式和使用 Horizon Client 登入桌面或 RDS 型遠端應用程式主題中所述,某些使用者會開啟瀏覽器並輸入該 FQDN,而其他使用者可能會使用其中一個 Horizon Client。您告訴使用者將其用戶端和瀏覽器指向的閘道上設定的 SSL 憑證,可讓這些用戶端和瀏覽器信任與該閘道的連線。如部署的 Horizon Cloud 網繭中所述,一個網繭可以有一個外部 Unified Access Gateway 組態或一個內部類型或兩者。在這兩個類型的 Unified Gateway 組態中,Unified Access Gateway 執行個體會設定為使用 FQDN 和 SSL 憑證資訊。
基於各種原因,您可能想要取代網繭的閘道上所設定的 SSL 憑證和 FQDN。其中一個可能的原因是,閘道上設定的既有 SSL 憑證在其憑證鏈結中具有到期日,且該行事曆日期和時間即將到達。在此情況下,您會想要在到達目前這個到期日之前取代該 SSL 憑證,以防止使用者用戶端或瀏覽器嘗試連線至閘道時的憑證信任問題。取代 SSL 憑證的另一個原因是,您想要讓使用者在其用戶端和瀏覽器中開始使用不同的 FQDN。由於 SSL 憑證會與 FQDN 串聯,因此,當您想要將 FQDN 變更為另一個 FQDN 時,通常會將 SSL 憑證取代為以新 FQDN 為基礎的憑證。
必要條件
若要完成此工作流程,您必須具備:
- 符合下列準則的替代 SSL 憑證。該憑證應使用您讓使用者用於其用戶端和瀏覽器中,以連線至網繭的閘道以便存取其獲授權資源的 FQDN。
- 以該 FQDN 為基礎且已簽署的 SSL 伺服器憑證 (PEM 格式)。Unified Access Gateway 功能需要 SSL 才能進行用戶端連線,如 Unified Access Gateway 產品說明文件中所述。憑證必須由受信任的憑證授權單位 (CA) 所簽署。單一 PEM 檔案必須包含完整憑證鏈結與私密金鑰。例如,單一 PEM 檔案必須包含 SSL 伺服器憑證、任何必要的中繼 CA 憑證、根 CA 憑證和私密金鑰。OpenSSL 是您可以用來建立 PEM 檔案的工具。
重要: 憑證鏈結中的所有憑證皆必須具有有效的時間範圍。 Unified Access Gateway 虛擬機器需要鏈結中的所有憑證 (包括任何中繼憑證) 皆具有有效的時間範圍。如果鏈結中的任何憑證已到期,則稍後在將憑證上傳至 Unified Access Gateway 組態時可能會發生非預期的失敗。
- 與該 SSL 憑證對應的 FQDN。此 FQDN 即為用於您使用者的用戶端和瀏覽器中以連線至網繭閘道的 FQDN。如果您取代 SSL 憑證的原因是為了避免使用者用戶端中的到期日問題,您可能會保留已在閘道上所設定將會在精靈中顯示的相同 FQDN。如果您同時將 FQDN 變更為新的 FQDN,則該 FQDN 對此網繭而言必須是唯一的。您無法重複使用已為其他網繭設定的 FQDN。
重要: 此 FQDN 不可包含底線。在此版本中,當 FQDN 包含底線時, Unified Access Gateway 執行個體的連線將會失敗。
程序
下一步
無論您變更哪個 Unified Access Gateway 組態,如果將它變更為與先前不同的 FQDN,請確定您更新 DNS 伺服器中的 CNAME 記錄,以將組態的負載平衡器的 FQDN 對應至新的 FQDN。如需詳細資料,請參閱如何取得要在您 DNS 伺服器中對應的 Horizon Cloud Pod 閘道的負載平衡器資訊。