您可將多種類型的 TLS 憑證用於 Horizon 8。為您的部署選取正確的憑證類型十分重要。憑證類型不同,其成本也不同,端視其可使用在的伺服器數目而定。
無論您選取何種憑證類型,請務必遵循 VMware 的安全建議:針對憑證使用完整網域名稱 (FQDN)。請勿使用簡單伺服器名稱或 IP 位址,即使針對內部網域內的通訊。
單一伺服器名稱憑證
您可針對特定伺服器,產生具有主體名稱的憑證。例如:dept.company.com。
舉例來說,如果只有一個連線伺服器執行個體需要憑證,這種類型的憑證就很有用。
當您提交憑證簽署要求至 CA 時,需提供與憑證相關聯的伺服器名稱。請確定 Horizon 8 Server 可解析您提供的伺服器名稱,使其符合憑證關聯的名稱。
主體別名
主體別名 (SAN) 是在核發憑證時可以新增至憑證的屬性。使用此屬性新增主體名稱 (URL) 至憑證,讓憑證可以驗證多個伺服器。
例如,憑證可能會核發給具有主機名稱 dept.company.com 的伺服器。您想要讓透過連線伺服器連線至 Horizon 8 的外部使用者使用憑證。核發憑證之前,您可以將 SAN dept-int.company.com 新增至憑證,讓憑證在通道啟用的情況下,能夠在負載平衡器後方的連線伺服器執行個體上使用。
萬用字元憑證
產生萬用字元憑證以用於多個服務。例如:*.company.com。
如果有多個伺服器需要憑證,萬用字元就很有用。如果除了 Horizon 8 以外,您環境中還有其他應用程式需要 TLS 憑證,您也可以為這些伺服器使用萬用字元憑證。不過,如果使用與其他服務共用的萬用字元憑證,則 VMware Horizon 產品的安全性也會取決於上述其他服務的安全性。
備註: 萬用字元憑證只能用於單一網域層級。例如,具有主體名稱
*.company.com 的萬用字元憑證可以用於子網域
dept.company.com,但不能用於
dept.it.company.com。