Horizon 8 (2506) -- Configure Unified Access Gateway

Horizon シャチク²ラウド

 UAG OVA 展開が完了したら,Horizon 用の設定をする前に TLS サーバー証明書等の設定を先に済ませておきます.

Admin UI から詳細設定変更


 UAG OVA 展開時に設定した Management Network の 9443 番ポート ( https://FQDN:9443/admin/index.html ) に接続して, admin ユーザーでログインします.


 Admin UI 画面では手動構成の方の "選択" をクリックして進みます(設定 Import 作業する以外は基本的に手動構成を選択).


 [詳細設定] の [システム構成] 右脇のギアアイコンをクリックします.


 [システム構成] 画面で少し基本的な設定を済ませておきます.まず,OVA 展開時に設定した [UAG 名] が FQDN で正しく設定されていることを確認します.私はせっかく考えた複雑なパスワードを度々変更させられるのが嫌いなので,[パスワードの有効期限] と [監視ユーザーのパスワードの有効期限] を "0" にしてパスワード有効期限を無効にしています.


 その他の項目は一旦デフォルトのまま下へスクロールし,証明書の検証でエラーが起こらないように [ホストとの時刻同期] を有効にして "保存" をクリックします.

TLS サーバ証明書設定


 TLS サーバー証明書を用意します.UAG の Admin UI からは証明書タイプとして PEM か PFX を選択出来るので,今回は PFX 形式の証明書を作成します.openssl コマンドが実行できる端末で,秘密鍵を作成します. 

% openssl genrsa -des3 -out uag0.key 2048
Generating RSA private key, 2048 bit long modulus
.....................+++++
................+++++
e is 65537 (0x10001)
Enter pass phrase for uag0.key:
Verifying - Enter pass phrase for uag0.key:


 次に,この秘密鍵を使って CSR を作成します.

% openssl req -new -key uag0.key -sha256 -out uag0.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) []:JP
(中略)
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:.


 作成した CSR を使って証明書を発行してもらいましょう.中間証明書が必要なケースが多いと思いますので,こちらも忘れずに入手しましょう.秘密鍵・サーバー証明書・中間証明書が揃ったら PFX ファイルを作成します.

% openssl pkcs12 -export -inkey uag0.key -in uag0.cer -certfile 中間証明書.cer -out uag0.pfx
Enter Export Password:
Verifying - Enter Export Password:


 この PFX 形式の証明書を [詳細設定] の [TLS サーバ証明書設定] から登録していきます.


 [TLS サーバ証明書設定] 画面で,Horizon Client 接続用に用意したインターフェイス [Internet] のギアアイコンをクリックします.


 [証明書タイプ] で "PFX" を選び,先ほど作成した .pfx ファイルを選択してアップロードします.[パスワード] には,PFX ファイルの作成時に設定した Export Password を入力して "保存" をクリックします.


 https://FQDN/ にアクセスしてみましょう.証明書エラーが出ていなければ成功です.



 次回は Horizon 用の設定に入って行きます.