Antes de executar o fluxo de trabalho Carregar Certificado do Pod, verifique se você cumpriu esses pré-requisitos. Você deve ter os arquivos relacionados ao certificado conforme descrito abaixo para satisfazer os critérios da janela Carregar Certificado do Pod e permitir que o fluxo de trabalho seja concluído com êxito.
Servidor DNS
No servidor DNS, mapeie um nome de domínio completo (FQDN) para o endereço IP que é exibido na página de detalhes do pod e que é rotulado como IP do Balanceador de Carga do Gerenciador de Pods. Você pode navegar até a página de detalhes do pod na página Capacidade e clicar no nome do pod.
Para ver o significado do endereço IP que é exibido ao lado do rótulo IP do Balanceador de Carga do Gerenciador de Pods, consulte Visão geral da configuração de certificados SSL nas VMs do gerenciador de pod do Horizon Cloud, principalmente para uso pelo Workspace ONE Access Connector com pods em um ambiente de agente de pod único.
Você usa esse FQDN ao obter os arquivos de certificado SSL, conforme descrito na seção a seguir.
Arquivos de certificado SSL
A janela Carregar Certificado do Pod do console exige que você forneça três arquivos distintos e inter-relacionados.
A seguinte captura de tela é uma ilustração de como a janela Carregar Certificado do Pod aparece onde você fornece os três arquivos.
A lista a seguir descreve os arquivos, relacionados aos rótulos usados na janela do console, conforme descrito acima.
- Arquivo de certificado da autoridade de certificação (CA.crt)
- Esse arquivo CA.crt é emitido por uma Autoridade de Certificação (CA). Este arquivo é usado para verificar a autenticidade dos outros dois arquivos descritos abaixo.
- Arquivo de Certificado SSL (SSL.crt)
- Este arquivo é um arquivo de chave pública usado para criptografia de dados usando o algoritmo de criptografia RSA. As instâncias do gerenciador de pods usam esse arquivo SSL.crt para criptografar os dados enviados pelas instâncias do gerenciador de pods, no cenário de uso do agente de pod único e da comunicação do Workspace ONE Access Connector com os gerenciadores de pods. (Esse caso de uso está descrito na página Visão geral da configuração de certificados SSL nas VMs do gerenciador de pod do Horizon Cloud, principalmente para uso pelo Workspace ONE Access Connector com pods em um ambiente de agente de pod único.
- Arquivo de Chave SSL (.key)
- Este é um arquivo de chave privada usado para descriptografar os dados criptografados pelo arquivo de chave pública SSL.crt acima usando o algoritmo de criptografia RSA.
Requisitos de arquivos
Certifique-se de que os arquivos atendam aos seguintes requisitos.
- Os certificados SSL confiáveis válidos são baseados no FQDN que você mapeou no seu servidor DNS para o IP do balanceador de carga dos gerenciadores de pods.
- O arquivo de certificado de CA (CA.crt) e o arquivo de certificado SSL (SSL.crt) estão no formato PEM, que é uma representação DER codificada em BASE64 de um certificado X.509. Ambos devem ter a extensão .crt.
O bloco a seguir é um exemplo de como o conteúdo do arquivo seria.
-----BEGIN CERTIFICATE----- MIIFejCCA2KgAwIBAgIDAIi/MA0GCSqG ............... -----END CERTIFICATE-----
- O arquivo de chave privada (.key) não tem uma senha ou frase-chave associada. O seguinte bloco é um exemplo de como o conteúdo do arquivo seria:
-----BEGIN RSA PRIVATE KEY ----- MIIEpQIBAAKCAQEAoJmURboiFut+R34CNFibb9fjtI+cpDarUzqe8oGKFzEE/jmj ...................... -----END RSA PRIVATE KEY-----
- Os arquivos de certificado devem usar uma função de hash mais recente do que SHA-1. Não há suporte para o uso de certificados SHA-1 nas instâncias do gerenciador de pods.
- Revise a seção a seguir de considerações especiais relacionadas ao arquivo de certificado da CA e, se o seu arquivo de certificado da CA for um tipo de CA raiz encadeado, certifique-se de que os requisitos descritos sejam atendidos.
Arquivo de certificado de CA - Considerações especiais
O arquivo de certificado ca deve ser emitido por uma Autoridade de Certificação (CA) confiável.
Como resultado, a geração do arquivo CA.crt depende de qual CA você usa. Por exemplo, as CAs comuns incluem DigiCert, Verisign, Google, entre outros.
Dependendo da CA usada, eles podem fornecer um destes tipos:
- Certificado de CA de Raiz Única
- Nesse tipo, a CA assina diretamente o certificado.
- Certificado da CA raiz encadeada
- Nesse tipo, há uma ou mais autoridades de certificação intermediárias de terceiros envolvidas junto com a Autoridade de Certificação Raiz.
Quando seu arquivo de certificado de CA envolve ter uma ou mais autoridades de certificação intermediárias, o arquivo CA.crt deve conter os certificados intermediários e a CA raiz. O arquivo deve começar com os certificados intermediários na parte superior e ter o certificado raiz na parte inferior do arquivo.
Próximas Etapas
Para obter as etapas usadas para configurar o certificado SSL nas VMs de gerenciador do pod, consulte Configurar certificados SSL diretamente nas VMs do gerenciador de pod, por exemplo, ao integrar o dispositivo Workspace ONE Access Connector ao pod do Horizon Cloud no Microsoft Azure, para que o Connector confie nas conexões com as VMs do gerenciador de pod.
Se o manifesto do pod for inferior a 3139.x, entre em contato com o suporte da VMware para obter orientação antes de executar as etapas. Como o processo de carregar e salvar arquivos de certificado SSL incorretos ou formados incorretamente no pod pode resultar em perda de acesso ao pod e como o processo padrão de backup e restauração do serviço exige um manifesto 3139.x ou superior, é importante entrar em contato com o Suporte da VMware para obter ajuda se o seu manifesto de pod for menor que 3139.x antes de executar o fluxo de trabalho Carregar Certificado do Pod.