安装 Workspace ONE Access 服务后,将生成一个默认的 SSL 服务器证书。您可以使用该自签名证书进行测试。不过,最佳做法是在生产环境中使用由公用证书颁发机构 (Certificate Authority, CA) 签名的 SSL 证书。

注: 如果 Workspace ONE Access 前面的负载均衡器终止 SSL,则 SSL 证书将会应用于负载均衡器。

前提条件

  • 生成一个证书签名请求 (Certificate Signing Request, CSR) 并从 CA 获取有效的签名 SSL 证书。该证书可以是 PEM 或 PFX 文件。采用 PKCS #1 标准,使用私钥对 PEM 证书进行编码。

    如果导入一个 PEM 文件,请确保该文件按正确的顺序包含整个证书链。对于每个证书,请务必包含标签 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----。顺序是首先列出主要证书,然后是中间证书,最后是根证书。

  • 对于主体 DN 的“公用名”部分,请使用用户用于访问 Workspace ONE Access 服务的完全限定域名。如果 Workspace ONE Access 设备位于负载均衡器后面,该名称是负载均衡器服务器名称。
  • 如果未在负载均衡器上终止 SSL,该服务使用的 SSL 证书必须包含 Workspace ONE Access 集群中的每个完全限定域名的主体备用名称 (Subject Alternative Name, SAN)。在包括 SAN 时,允许集群中的节点相互发送请求。除了将用户用来访问 Workspace ONE Access 服务的 FQDN 主机名用于公用名以外,还要包含该主机名的 SAN,因为某些浏览器需要使用该名称。
  • 如果您的部署中包含辅助数据中心,请确保 Workspace ONE Access 证书包含主数据中心的负载均衡器 FQDN 以及辅助数据中心的负载均衡器 FQDN。否则,该证书必须是通配符证书。

过程

  1. 登录到 Workspace ONE Access 控制台。
  2. 选择仪表板 > 系统诊断仪表板
  3. 单击要配置的服务节点的 VA 配置,然后使用管理员用户密码登录。
  4. 选择安装 SSL 证书 > 服务器证书
  5. 在“SSL 证书”选项卡中,选择自定义证书
  6. 要导入证书文件,请单击选择文件,然后导航到要导入的证书文件。
    如果导入一个 PEM 文件,请确保该文件按正确的顺序包含整个证书链。对于每个证书,请务必包含标签 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----。顺序是首先列出主要证书,然后是中间证书。
  7. 如果导入一个 PEM 文件,请导入私钥。单击选择文件,然后导航到私钥文件。必须包含 ----BEGIN RSA PRIVATE KEY 和 ---END RSA PRIVATE KEY 之间的所有内容。
    如果导入一个 PFX 文件,请输入 PFX 密码。
  8. 单击保存

示例: PEM 证书示例

证书链示例
-----BEGIN CERTIFICATE-----

(您的主要 SSL 证书:your domain_name.crt)

-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----

(您的中间证书:<CA>.crt)

-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----

您的根证书:TrustedRoot.crt)

-----END CERTIFICATE-----
私钥示例
-----BEGIN RSA PRIVATE KEY-----

(您的私钥:your_domain_name.key)

-----END RSA PRIVATE KEY-----