自我簽署憑證的重新導向說明 - Amazon DCV

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

自我簽署憑證的重新導向說明

從 Web 型入口網站或應用程式重新導向至 Amazon DCV 工作階段時,如果先前未信任憑證,自我簽署憑證可能會中斷瀏覽器對工作階段的信任。發生這種情況的範例如下:

  1. 使用者會連線至載入應用程式的公司入口網站。

  2. 應用程式會嘗試使用自我簽署憑證開啟與 Amazon DCV Server 的直接安全連線。

  3. 瀏覽器拒絕安全連線,因為憑證是自我簽署的。

  4. 使用者看不到遠端伺服器,因為未建立連線。

信任問題專屬於步驟 3。當使用者使用自我簽署憑證 (例如導覽至 https://example.com) 連線到網站時,瀏覽器會要求 信任憑證。不過,如果 Web 應用程式/頁面透過 HTTP 或 HTTPS 提供, 會嘗試建立與 DCV 伺服器的安全 WebSocket 連線。如果憑證是自我簽署的,瀏覽器會檢查先前是否受信任。如果先前未信任,它會拒絕連線,如果使用者想要信任憑證,則不會提示使用者提出請求。

在這種情況下可能的解決方案:

  • 如果企業為其機器使用自訂網域,則擁有 DCV Server 機器的有效憑證。對於憑證,他們可以將企業憑證分發到 DCV。

    使用者 ---【有效憑證】---> DCV 伺服器執行個體

  • 保護代理/閘道下的 DCV 伺服器機群。在這種情況下,代理/閘道需要有有效的憑證,DCV 伺服器執行個體可以保留其自我簽署憑證。對於此選項,他們可以使用 DCV Connection Gateway、ALB/NLB 或其他代理解決方案。

    使用者/Cx ---【此處我們需要有效的憑證】---> Proxy/Gateway---【自我簽署憑證】---> DCV 伺服器執行個體

  • 在透過 SDK 開始連線之前,請使用者信任自我簽署憑證。只需在另一個 tab/window/popup 中開啟此 URL 即可:https://example.com/version

    注意

    /version 端點會在 HTTPS 連線下回覆 DCV 伺服器版本的簡單網頁。

    相同的自我簽署憑證稍後可在實際的 DCV 伺服器連線中使用。