安装 VMware Identity Manager 服务后,将生成一个默认的 SSL 服务器证书。您可以使用该自签名证书进行测试。不过,最佳做法是在生产环境中使用由公用证书颁发机构 (Certificate Authority, CA) 签名的 SSL 证书。
如果 VMware Identity Manager 前面的负载平衡器终止 SSL,则 SSL 证书将会应用于负载平衡器。
前提条件
生成一个证书签名请求 (Certificate Signing Request, CSR) 并从 CA 获取有效的签名 SSL 证书。该证书可以是 PEM 或 PFX 文件。
对于主体 DN 的“公用名”部分,请使用用户用于访问 VMware Identity Manager 服务的完全限定域名。如果 VMware Identity Manager 设备位于负载平衡器后面,该名称是负载平衡器服务器名称。
如果未在负载平衡器上终止 SSL,该服务使用的 SSL 证书必须包含 VMware Identity Manager 群集中的每个完全限定域名的主体备用名称 (Subject Alternative Name, SAN)。在包括 SAN 时,允许群集中的节点相互发送请求。除了将用户用来访问 VMware Identity Manager 服务的 FQDN 主机名用于公用名以外,还要包含该主机名的 SAN,因为某些浏览器需要使用该名称。
过程
PEM 证书示例
证书链示例 |
---|
-----BEGIN CERTIFICATE----- |
jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+ ... W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1 |
-----END CERTIFICATE----- |
-----BEGIN CERTIFICATE----- |
WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+ ... O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1 |
-----END CERTIFICATE----- |
-----BEGIN CERTIFICATE----- |
dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+ ... 5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1 |
-----END CERTIFICATE----- |
私钥示例 |
---|
-----BEGIN RSA PRIVATE KEY----- |
jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+ ... 1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1 |
-----END RSA PRIVATE KEY----- |