安装 VMware Identity Manager 服务后,将生成一个默认的 SSL 服务器证书。您可以使用该自签名证书进行测试。不过,最佳做法是在生产环境中使用由公用证书颁发机构 (Certificate Authority, CA) 签名的 SSL 证书。
注: 如果
VMware Identity Manager 前面的负载平衡器终止 SSL,则 SSL 证书将会应用于负载平衡器。
前提条件
- 生成一个证书签名请求 (Certificate Signing Request, CSR) 并从 CA 获取有效的签名 SSL 证书。该证书可以是 PEM 或 PFX 文件。
- 对于主体 DN 的“公用名”部分,请使用用户用于访问 VMware Identity Manager 服务的完全限定域名。如果 VMware Identity Manager 设备位于负载平衡器后面,该名称是负载平衡器服务器名称。
- 如果未在负载平衡器上终止 SSL,该服务使用的 SSL 证书必须包含 VMware Identity Manager 群集中的每个完全限定域名的主体备用名称 (Subject Alternative Name, SAN)。在包括 SAN 时,允许群集中的节点相互发送请求。除了将用户用来访问 VMware Identity Manager 服务的 FQDN 主机名用于公用名以外,还要包含该主机名的 SAN,因为某些浏览器需要使用该名称。
- 如果您的部署中包含辅助数据中心,请确保 VMware Identity Manager 证书包含主数据中心的负载平衡器 FQDN 以及辅助数据中心的负载平衡器 FQDN。否则,该证书必须是通配符证书。
过程
示例: PEM 证书示例
证书链示例 |
---|
-----BEGIN CERTIFICATE----- |
jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+ ... W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1 |
-----END CERTIFICATE----- |
-----BEGIN CERTIFICATE----- |
WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+ ... O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1 |
-----END CERTIFICATE----- |
-----BEGIN CERTIFICATE----- |
dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+ ... 5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1 |
-----END CERTIFICATE----- |
私钥示例 |
---|
-----BEGIN RSA PRIVATE KEY----- |
jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+ ... 1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1 |
-----END RSA PRIVATE KEY----- |