安装了 Kerberos 身份验证服务的 Workspace ONE Access Connector 服务器需要可信 SSL 证书。对于 Kerberos 身份验证服务,该连接是入站连接,最终用户与连接器建立 SSL 连接。

Kerberos 身份验证服务的可信 SSL 证书要求包括:

  • 证书必须采用 PEM 或 PFX 格式。
  • 如果证书是 PEM 文件,则还必须上载私钥。
  • 证书密钥长度必须是 1024 到 3072 位。
  • 确保证书文件按照正确的顺序包含整个证书链。
  • 证书必须由公共或内部 CA 签名。
  • 如果您部署 Kerberos 身份验证服务的多个实例,以便为 Kerberos 身份验证设置高可用性,则需要在实例之前使用负载平衡器。在这种情况下,负载平衡器以及所有连接器实例都必须具有由公共或内部 CA 签名的可信 SSL 证书。对于负载平衡器证书,需使用在 Workspace IdP 配置页面中设置的 Workspace IdP 主机名作为主体 DN 公用名称。对于每个连接器实例证书,需使用连接器主机名作为主体 DN 公用名称。或者,您也可以创建单个证书,使用 Workspace IdP 主机名作为主体 DN 公用名称,并使用所有连接器主机名以及 Workspace IdP 主机名作为主体备用名称 (Subject Alternative Name, SAN)。
注: 如果在安装期间未上载可信 SSL 证书,则会自动生成自签名证书。如果要使用此 Workspace ONE Access 生成的自签名证书,就需要将 Workspace ONE Access 生成的根证书添加到客户端的信任存储区中。您可以从 INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf 中获取根证书 root_ca.per

虽然您可以使用自签名证书进行测试,但对于生产用途,我们建议您使用由公共或内部 CA 签名的可信 SSL 证书。

前提条件

获取由公共或内部证书颁发机构 (CA) 签名的可信 SSL 证书。

过程

  1. 登录到安装了 Kerberos 身份验证服务的 Workspace ONE Access Connector 服务器。
  2. 转到包含连接器安装程序的文件夹,然后双击 Workspace ONE Access Connector Installer.exe 文件。
  3. 在“欢迎”页上,单击下一步
  4. 在“程序维护”页面上,选择添加/移除服务选项,然后单击下一步
  5. 单击下一步,直到出现安装 Kerberos 身份验证服务的 SSL 证书页面。
  6. 选中是否要使用您自己的 SSL 证书? 复选框。
  7. 单击浏览并选择证书文件。
    证书文件必须采用 PEM 或 PFX 格式。如果上载 PEM 文件,还要上载私钥。如果上载 PFX 文件,还要指定证书密码。