安装 VMware Identity Manager 服务后,将生成一个默认的 SSL 服务器证书。您可以使用该自签名证书进行测试。不过,VMware 强烈建议您在生产环境中使用由公用证书颁发机构 (Certificate Authority, CA) 签名的 SSL 证书。

关于此任务

注:

如果 VMware Identity Manager 前面的负载平衡器终止 SSL,则 SSL 证书将会应用于负载平衡器。

先决条件

  • 生成一个证书签名请求 (Certificate Signing Request, CSR) 并从 CA 获取有效的签名 SSL 证书。证书必须采用 PEM 格式。

  • 对于主体 DN 的公用名部分,请使用用户将用来访问 VMware Identity Manager 服务的完全限定域名。如果 VMware Identity Manager 设备位于负载平衡器后面,这是负载平衡器服务器名称。

  • 如果未在负载平衡器上终止 SSL,该服务使用的 SSL 证书必须包含 VMware Identity Manager 群集中的所有主机的主体备用名称 (Subject Alternative Name, SAN),以便群集中的节点可以相互发出请求。此外,还要包括用户将用来访问 VMware Identity Manager 服务的完全限定域名的 SAN(也对公用名使用该完全限定域名),因为某些浏览器需要使用它。

过程

  1. 在管理控制台中,单击设备设置选项卡。
  2. 单击管理配置并输入 admin 用户密码。
  3. 选择安装 SSL 证书 > 服务器证书
  4. 在“SSL 证书”字段中,选择自定义证书
  5. SSL 证书链文本框中,依次粘贴服务器证书、中间证书和根证书。

    您必须按正确的顺序包含整个证书链。对于每个证书,请复制 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- 之间的所有内容(包括这两行)。

  6. 私钥文本框中,粘贴私钥。复制“-----RSA 私钥开始-----”与“-----RSA 私钥结束-----”之间的所有内容。
  7. 单击添加

证书示例

证书链示例

-----BEGIN CERTIFICATE-----

jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+

...

W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+

...

O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+

...

5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1

-----END CERTIFICATE-----

私钥示例

-----BEGIN RSA PRIVATE KEY-----

jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+

...

1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1

-----END RSA PRIVATE KEY-----