對於生產系統,在 Horizon Cloud Pod 的管理員虛擬機器上設定 SSL 憑證的主要使用案例是將 Workspace ONE Access 與網繭整合。在此案例中,即使網繭已有 Unified Access Gateway 組態,仍需要網繭管理員虛擬機器上的 SSL 憑證,才能支援與 Workspace ONE Access Connector 的信任連線。

在 Microsoft Azure 中將 Workspace ONE AccessHorizon Cloud Pod 整合的重要步驟是設定 Workspace ONE Access Connector,然後同步您在 Workspace ONE Access 中設定的 Horizon Cloud 虛擬應用程式集合,以使用網繭佈建的桌面和遠端應用程式。Workspace ONE Access Connector 需要與網繭管理員虛擬機器通訊,才能執行該同步化。因此,網繭必須提出有效的 SSL 憑證才能取得 Workspace ONE Access Connector 的信任。如需關於此整合的詳細資訊,請參閱將 Microsoft Azure 中的 Horizon Cloud Pod 與 Workspace ONE Access 整合

網繭詳細資料頁面的網繭管理員負載平衡器 IP 位址欄位與 SSL 憑證需求之間的關聯性

建立可在網繭管理員虛擬機器上設定之有效且受信任的 SSL 憑證時,網繭詳細資料頁面中顯示於網繭管理員負載平衡器 IP 標籤旁的數值 IP 位址是一項重要資訊。下列螢幕擷取畫面顯示在已部署的網繭詳細資料頁面中顯示了網繭管理員負載平衡器 IP 標籤的情況。


[網繭管理員負載平衡器 IP] 標籤在網繭詳細資料頁面中的位置。

受信任的 SSL 憑證必須基於您在 DNS 伺服器中與該欄位中所顯示 IP 位址相對應的完整網域名稱 (FQDN)。需要此對應,設定為使用該 FQDN 的使用者用戶端才能對網繭進行受信任的連線。

現在,什麼是該數值 IP 位址的相關項目?也就是網繭租用戶子網路中的私人 IP 位址。與 IP 位址相關聯的網繭資源取決於網繭具有資訊清單 1600 版或更新版本,還是低於 1600 的資訊清單版本。

具有資訊清單 1600 版或更新版本的網繭

對於具有資訊清單 1600 或更新版本的網繭,為網繭管理員負載平衡器 IP 標籤顯示的數值 IP 位址,即為網繭之 Azure 負載平衡器資源的數值私人 IP 位址。具有資訊清單 1600 或更新版本的網繭在其網繭架構中包含網繭 Azure 負載平衡器,且該平衡器具有網繭租用戶子網路中的私人 IP 位址。該網繭 Azure 負載平衡器是對於網繭管理員虛擬機器的 SSL 通訊點。如前所述,為該網繭啟用高可用性功能時,該 Azure 負載平衡器後方會有兩個管理員虛擬機器。在此情況下,當您在管理主控台中按一下上傳憑證以上傳 SSL 憑證檔案時,Horizon Cloud 會在作用中的管理員虛擬機器上執行設定,然後將憑證組態複製到其他管理員虛擬機器。若未啟用網繭的高可用性功能,則該 Azure 負載平衡器後方只會有一個管理員虛擬機器。當您在主控台中按一下上傳憑證時,Horizon Cloud 會在該管理員虛擬機器上設定憑證。

下列螢幕擷取畫面說明網繭之 Azure 負載平衡器的私人 IP 位址,即為前述範例中主控台內網繭詳細資料頁面上顯示於網繭管理員負載平衡器 IP 標籤旁的相同 IP 位址。


此螢幕擷取畫面顯示訂閱中的網繭 Azure 負載平衡器,以及為其指派的私人 IP 位址

資訊清單版本早於 1600 的網繭

對於資訊清單版本早於 1600 的網繭,為網繭管理員負載平衡器 IP 標籤顯示的數值租用戶 IP 位址,即為網繭的 Azure 租用戶子網路中與網繭管理員虛擬機器上的租用戶 NIC 相關聯的數值私人 IP 位址。資訊清單版本較早的網繭架構只有單一網繭管理員虛擬機器。管理員虛擬機器在租用戶子網路上的私人 IP 位址,即為對於該管理員虛擬機器 SSL 的通訊點。當您在主控台中按一下上傳憑證時,Horizon Cloud 會在該管理員虛擬機器上設定憑證。

如何在網繭的管理員虛擬機器上設定 SSL 憑證

您可以使用管理主控台在網繭管理員虛擬機器上設定 SSL 憑證。如需詳細步驟,請參閱在 Horizon Cloud Pod 的管理員虛擬機器上設定 SSL 憑證。如需執行這些步驟前的先決條件,請參閱執行 Horizon Cloud 管理主控台的上傳憑證工作流程以在 Horizon Cloud Pod 的管理員虛擬機器上設定 SSL 憑證的先決條件

需要在網繭的管理員虛擬機器上設定 SSL 憑證的非典型案例

雖然這些案例可能適用於概念驗證,但不建議用於生產用途。在生產系統中,您應利用內部和外部閘道組態的 Horizon Cloud 功能,以支援使用者連線至其網繭佈建的資源。對於公司網路內部的使用者連線 (例如透過 VPN),網繭上應該要有內部 Unified Access Gateway 組態。對於透過網際網路的使用者連線,網繭上應該要有外部 Unified Access Gateway 組態。如需將這些組態新增至您網繭的步驟,請參閱將閘道組態新增至已部署的 Horizon Cloud Pod

表 1. 需要在網繭管理員虛擬機器上設定 SSL 憑證的非典型案例
案例 說明
僅使用外部閘道組態部署網繭,而未使用內部 Unified Access Gateway 組態 在此案例中,雖然使用網際網路的使用者可透過已部署的外部閘道組態存取其由網繭佈建的資源,但公司網路內部的使用者將並沒有平行的內部閘道組態可用來存取其由網繭佈建的資源。在沒有內部 Unified Access Gateway 組態的情況下,這些內部使用者將必須指定其用戶端連線以直接連線到網繭。若要直接連線至網繭,表示必須將用戶端指向網繭詳細資料頁面中顯示於網繭管理員負載平衡器 IP 標籤旁的 IP 位址,或指向與您 DNS 中顯示的 IP 位址相對應的 FQDN。
不使用任何閘道組態 (零部 Unified Access Gateway 虛擬機器) 部署網繭

在此案例中,所有使用者對網繭佈建資源的連線,皆必須使用其中一個作業系統特定的 Horizon Clients 直接連線至網繭。若要直接連線至網繭,表示必須將用戶端指向網繭詳細資料頁面中顯示於網繭管理員負載平衡器 IP 標籤旁的 IP 位址,或指向與您 DNS 中顯示的 IP 位址相對應的 FQDN。

小心: 與使用其中一個作業系統特定的 Horizon Clients 不同,當您直接將瀏覽器指向網繭時,即使您已在主控台中使用 上傳憑證動作,在網繭的管理員虛擬機器上設定 SSL 憑證,該瀏覽器的連線行為仍會如同不受信任的連線。直接在瀏覽器中輸入網繭的 FQDN 會使瀏覽器使用 HTML Access (Blast) 連線類型進行連線,並且由於 HTML Access (Blast) 的運作方式,瀏覽器會在對網繭進行直接連線時顯示一般的不受信任的憑證錯誤。若要避免顯示不受信任的憑證錯誤,則必須為網繭設定閘道,以便您可以讓這些瀏覽器連線通過適當的閘道組態:一個外部閘道組態供位於公司網路外部的使用者使用,以及一個內部閘道組態供您的公司網路內部的使用者使用。如果您不想向網際網路公開您的 FQDN,請使用內部閘道組態。此內部閘道組態會使用 Microsoft 內部負載平衡器,作為公司網路內部使用者可以將其連線指向的目標。請參閱 將閘道組態新增至已部署的 Horizon Cloud Pod