安装 Workspace ONE Access Connector 后,目录同步、用户身份验证、Kerberos 身份验证和虚拟应用程序服务不会显示在 Workspace ONE Access 控制台中的“连接器”页面上。
问题
安装连接器后,您安装的企业服务不会在 Workspace ONE Access 服务中进行注册,并且不会显示在“连接器”页面上。
日志显示类似以下内容的错误:
Unable to register EDS javax.net.ssl.SSLHandshakeException: Failed to create SSL connection Caused by: javax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
解决方案
如果对内部部署 Workspace ONE Access 服务实例使用自签名证书,并且在安装连接器时未将证书上载到连接器信任存储区,则会出现此问题。因此,连接器不信任 Workspace ONE Access 服务。
要解决此问题,请将 Workspace ONE Access 服务证书导入到您安装的每个企业服务的密钥库。
- 下载 Workspace ONE Access 服务证书。
- 如果连接器在 FIPS 模式下运行,请将下载的证书转换为 BCFKS 格式。
- 在连接器Windows服务器上,导航到连接器安装目录。
安装目录通常为 C:\Program Files\Workspace ONE Access。
- 为每个企业服务运行以下命令:
.\Support\scripts\installRootCa.bat -ca “<Downloaded certificate path>” -trustStore “.\< enterprise service name>\conf\certs\cacerts” -trustStorePwdFile “.\<enterprise service name>\conf\certs\cakeystore.pass”
将 <Downloaded certificate path> 替换为下载的 Workspace ONE Access 服务证书的路径。将 <enterprise service name> 替换为企业服务的名称:目录同步服务、用户身份验证服务、Kerberos 身份验证服务或虚拟应用程序服务。例如:
.\Support\scripts\installRootCa.bat -ca “C:\MyCerts\example.crt” -trustStore “.\Directory Sync Service\conf\certs\cacerts” -trustStorePwdFile “.\Directory Sync Service\conf\certs\cakeystore.pass”
- 通过为每个企业服务运行以下命令,验证证书是否已正确添加到密钥库:
keytool -v -list -keystore "<INSTALL_DIR>\<enterprise service name>\conf\certs\cacerts" -storepass:file "<INSTALL_DIR>\<enterprise service name>\conf\certs\cakeystore.pass" > keytool_dump.txt
例如:
keytool -v -list -keystore "C:\Program Files\Workspace ONE Access\Directory Sync Service\conf\certs\cacerts" -storepass:file "C:\Program Files\Workspace ONE Access\Directory Sync Service\conf\certs\cakeystore.pass" > keytool_dump.txt
此命令将列出企业服务密钥库中的所有证书,并将信息存储在 keytool_dump.txt 文件中。
- 重新启动所有企业服务。
