安装 VMware Identity Manager 服务后,将生成一个默认的 SSL 服务器证书。您可以使用该自签名证书进行测试。不过,最佳做法是在生产环境中使用由公用证书颁发机构 (Certificate Authority, CA) 签名的 SSL 证书。

注: 如果 VMware Identity Manager 前面的负载平衡器终止 SSL,则 SSL 证书将会应用于负载平衡器。

前提条件

  • 生成一个证书签名请求 (Certificate Signing Request, CSR) 并从 CA 获取有效的签名 SSL 证书。该证书可以是 PEM 或 PFX 文件。
  • 对于主体 DN 的“公用名”部分,请使用用户用于访问 VMware Identity Manager 服务的完全限定域名。如果 VMware Identity Manager 设备位于负载平衡器后面,该名称是负载平衡器服务器名称。
  • 如果未在负载平衡器上终止 SSL,该服务使用的 SSL 证书必须包含 VMware Identity Manager 群集中的每个完全限定域名的主体备用名称 (Subject Alternative Name, SAN)。在包括 SAN 时,允许群集中的节点相互发送请求。除了将用户用来访问 VMware Identity Manager 服务的 FQDN 主机名用于公用名以外,还要包含该主机名的 SAN,因为某些浏览器需要使用该名称。
  • 如果您的部署中包含辅助数据中心,请确保 VMware Identity Manager 证书包含主数据中心的负载平衡器 FQDN 以及辅助数据中心的负载平衡器 FQDN。否则,该证书必须是通配符证书。

过程

  1. VMware Identity Manager 控制台中,单击设备设置选项卡。
  2. 单击管理配置并输入 admin 用户密码。
  3. 选择安装 SSL 证书 > 服务器证书
  4. 在“SSL 证书”选项卡中,选择自定义证书
  5. 要导入证书文件,请单击选择文件,然后导航到要导入的证书文件。
    如果导入一个 PEM 文件,请确保该文件按正确的顺序包含整个证书链。必须包含 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE---- 之间的所有内容(包括这两行)。
  6. 如果导入一个 PEM 文件,请导入私钥。单击选择文件,然后导航到私钥文件。必须包含 ----BEGIN RSA PRIVATE KEY 和 ---END RSA PRIVATE KEY 之间的所有内容。
    如果导入一个 PFX 文件,请输入 PFX 密码。
  7. 单击保存

示例: PEM 证书示例

证书链示例
-----BEGIN CERTIFICATE-----

jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+

...

W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1

-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----

WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+

...

O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1

-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----

dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+

...

5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1

-----END CERTIFICATE-----
私钥示例
-----BEGIN RSA PRIVATE KEY-----

jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+

...

1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1

-----END RSA PRIVATE KEY-----