Quando os nós do Workspace ONE Access são configurados no DMZ atrás de um balanceador de carga, todos os nós devem ser configurados para se comunicar entre si. As regras de firewall são configuradas para permitir que os nós se comuniquem entre si na porta 5262.

Para que o serviço de proxy de certificado funcione corretamente às solicitações diretas, o balanceador de carga deve ser configurado da seguinte maneira.

• Nova criptografia de SSL habilitada.
• Certificado publicamente confiável instalado no balanceador de carga.
• Cabeçalho X-Forwarded-For habilitado.
• Cabeçalho RemotePort habilitado.
• Porta 443 configurada com um certificado autoassinado em cada nó.
• Porta 5262 configurada para o serviço de proxy de certificado, com passagem SSL configurada para a autenticação de certificado. O handshake de SSL acontece entre o dispositivo e o serviço.
• Porta 5263 configurada como outra instância do serviço de proxy de certificado para receber solicitações de administrador interno do serviço.