安装了 Kerberos 身份验证服务的 Workspace ONE Access Connector 服务器需要可信 SSL 证书。对于 Kerberos 身份验证服务,该连接是入站连接,最终用户与连接器建立 SSL 连接。
Kerberos 身份验证服务的可信 SSL 证书要求包括:
- 证书必须采用 PEM 或 PFX 格式。
- 如果证书是 PEM 文件,则还必须上载私钥。
- 证书密钥长度必须是 1024 到 3072 位。
- 确保证书文件按照正确的顺序包含整个证书链。
- 证书必须由公共或内部 CA 签名。
- 如果您部署 Kerberos 身份验证服务的多个实例,以便为 Kerberos 身份验证设置高可用性,则需要在实例之前使用负载平衡器。在这种情况下,负载平衡器以及所有连接器实例都必须具有由公共或内部 CA 签名的可信 SSL 证书。对于负载平衡器证书,需使用在 Workspace IdP 配置页面中设置的 Workspace IdP 主机名作为主体 DN 公用名称。对于每个连接器实例证书,需使用连接器主机名作为主体 DN 公用名称。或者,您也可以创建单个证书,使用 Workspace IdP 主机名作为主体 DN 公用名称,并使用所有连接器主机名以及 Workspace IdP 主机名作为主体备用名称 (Subject Alternative Name, SAN)。
注: 如果在安装期间未上载可信 SSL 证书,则会自动生成自签名证书。如果要使用此 Workspace ONE Access 生成的自签名证书,就需要将 Workspace ONE Access 生成的根证书添加到客户端的信任存储区中。您可以从
INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf 中获取根证书
root_ca.per。
虽然您可以使用自签名证书进行测试,但对于生产用途,我们建议您使用由公共或内部 CA 签名的可信 SSL 证书。
前提条件
获取由公共或内部证书颁发机构 (CA) 签名的可信 SSL 证书。