安装 VMware Identity Manager 服务后,将生成一个默认的 SSL 服务器证书。您可以使用该自签名证书进行测试。不过,VMware 强烈建议您在生产环境中使用由公用证书颁发机构 (Certificate Authority, CA) 签名的 SSL 证书。

注:

如果 VMware Identity Manager 前面的负载平衡器终止 SSL,则 SSL 证书将会应用于负载平衡器。

前提条件

  • 生成一个证书签名请求 (Certificate Signing Request, CSR) 并从 CA 获取有效的签名 SSL 证书。证书必须采用 PEM 格式。

  • 对于主体 DN 的“公用名”部分,请使用用户用于访问 VMware Identity Manager 服务的完全限定域名。如果 VMware Identity Manager 设备位于负载平衡器后面,这是负载平衡器服务器名称。

  • 如果未在负载平衡器上终止 SSL,该服务使用的 SSL 证书必须包含 VMware Identity Manager 群集中的每个完全限定域名的主体备用名称 (Subject Alternative Name, SAN),以便群集中的节点可以相互发出请求。除了将用户用来访问 VMware Identity Manager 服务的 FQDN 主机名用于公用名以外,还要包含该主机名的 SAN,因为某些浏览器需要使用该名称。

过程

  1. VMware Identity Manager 控制台中,单击设备设置选项卡。
  2. 单击管理配置并输入 admin 用户密码。
  3. 选择安装 SSL 证书 > 服务器证书
  4. 在“SSL 证书”字段中,选择自定义证书
  5. SSL 证书链文本框中,依次粘贴服务器证书、中间证书和根证书。

    您必须按正确的顺序包含整个证书链。对于每个证书,请复制 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- 之间的所有内容(包括这两行)。

  6. 私钥文本框中,粘贴私钥。复制“-----RSA 私钥开始-----”与“-----RSA 私钥结束-----”之间的所有内容。
  7. 单击添加

证书示例

证书链示例

-----BEGIN CERTIFICATE-----

jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+

...

W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+

...

O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+

...

5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1

-----END CERTIFICATE-----

私钥示例

-----BEGIN RSA PRIVATE KEY-----

jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+

...

1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1

-----END RSA PRIVATE KEY-----