安装 VMware Identity Manager 服务后,将生成一个默认的 SSL 服务器证书。您可以使用该自签名证书进行测试。不过,最佳做法是在生产环境中使用由公用证书颁发机构 (Certificate Authority, CA) 签名的 SSL 证书。

注:

如果 VMware Identity Manager 前面的负载平衡器终止 SSL,则 SSL 证书将会应用于负载平衡器。

前提条件

  • 生成一个证书签名请求 (Certificate Signing Request, CSR) 并从 CA 获取有效的签名 SSL 证书。该证书可以是 PEM 或 PFX 文件。

  • 对于主体 DN 的“公用名”部分,请使用用户用于访问 VMware Identity Manager 服务的完全限定域名。如果 VMware Identity Manager 设备位于负载平衡器后面,该名称是负载平衡器服务器名称。

  • 如果未在负载平衡器上终止 SSL,该服务使用的 SSL 证书必须包含 VMware Identity Manager 群集中的每个完全限定域名的主体备用名称 (Subject Alternative Name, SAN)。在包括 SAN 时,允许群集中的节点相互发送请求。除了将用户用来访问 VMware Identity Manager 服务的 FQDN 主机名用于公用名以外,还要包含该主机名的 SAN,因为某些浏览器需要使用该名称。

过程

  1. VMware Identity Manager 控制台中,单击设备设置选项卡。
  2. 单击管理配置并输入 admin 用户密码。
  3. 选择安装 SSL 证书 > 服务器证书
  4. 在“SSL 证书”选项卡中,选择自定义证书
  5. 要导入证书文件,请单击选择文件,然后导航到要导入的证书文件。

    如果导入一个 PEM 文件,请确保该文件按正确的顺序包含整个证书链。必须包含 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE---- 之间的所有内容(包括这两行)。

  6. 如果导入一个 PEM 文件,请导入私钥。单击选择文件,然后导航到私钥文件。必须包含 ----BEGIN RSA PRIVATE KEY 和 ---END RSA PRIVATE KEY 之间的所有内容。

    如果导入一个 PFX 文件,请输入 PFX 密码。

  7. 单击保存

PEM 证书示例

证书链示例

-----BEGIN CERTIFICATE-----

jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+

...

W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+

...

O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+

...

5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1

-----END CERTIFICATE-----

私钥示例

-----BEGIN RSA PRIVATE KEY-----

jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+

...

1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1

-----END RSA PRIVATE KEY-----