对于部署在集群中的多个 VMware Identity Manager 虚拟设备,请确保满足以下要求。

VMware Identity Manager 3.3.4 和更高版本创建证书时适用的准则

  • 生成一个证书签名请求 (Certificate Signing Request, CSR) 并从证书颁发机构 (CA) 获取有效的签名 SSL 证书。该证书可以是 PEM 或 PFX 文件。
  • 对于主体 DN 的“公用名”部分,请使用用户用于访问 VMware Identity Manager 服务的完全限定域名 (FQDN)。如果 VMware Identity Manager 设备位于负载均衡器后面,该 FQDN 名称是负载均衡器服务器名称。
  • 如果未在负载均衡器上终止 SSL,该服务使用的 SSL 证书必须包含 VMware Identity Manager 集群中每个 FQDN 的主体备用名称 (Subject Alternative Name, SAN)。在包括 SAN 时,允许集群中的节点相互发送请求。除了将用户用来访问 VMware Identity Manager 服务的 FQDN 主机名用于公用名以外,还要包含该主机名的 SAN,因为某些浏览器需要使用该名称。

VMware Identity Manager 3.3.4 和更高版本使用证书时要使用的属性

集群类型 建议与支持
采用单租户模式的集群
推荐
  • 与负载均衡器和节点域匹配的通配符 CA 证书
受支持
  • 与负载均衡器和节点域匹配的通配符自签名证书
  • 添加了负载均衡器和节点 FQDN 主机 SAN 的自签名证书
启用了多租户功能的集群
推荐
  • 与负载均衡器和节点域匹配的通配符 CA 证书
受支持
  • 与负载均衡器和节点域匹配的通配符自签名证书
  • 添加了负载均衡器、节点和所有租户别名主机名 SAN 的自签名证书