在安装 VMware Identity Manager Connector 时,将自动生成一个默认的自签名 SSL 服务器证书。在大多数场景中,您可以继续使用此自签名证书。
使用在出站模式下部署的连接器时,最终用户不会直接访问连接器,因此不需要安装公共证书颁发机构 (Certificate Authority, CA) 签名的 SSL 证书。对于管理员进行的连接器访问,您可以继续使用默认的自签名证书,也可以使用由内部 CA 生成的证书。
但是,如果您在连接器中启用 KerberosIdpAdapter 来为内部用户设置 Kerberos 身份验证,则最终用户将建立与连接器的 SSL 连接,这样,连接器必须具有一个签名的 SSL 证书。可使用内部 CA 生成该 SSL 证书。
如果您为 Kerberos 身份验证设置高可用性,则需要在连接器实例前面使用负载平衡器。在这种情况下,负载平衡器以及所有连接器实例都必须具有签名的 SSL 证书。可使用内部 CA 生成这些 SSL 证书。对于负载平衡器证书,需使用在 Workspace IdP 配置页面中设置的 Workspace IdP 主机名作为主体 DN 公用名称。对于每个连接器实例证书,需使用连接器主机名作为主体 DN 公用名称。或者,您也可以创建单个证书,使用 Workspace IdP 主机名作为主体 DN 公用名称,并使用所有连接器主机名以及 Workspace IdP 主机名作为主体备用名称 (Subject Alternative Name, SAN)。