要使用外部证书进行 SAML 签名,必须从 Workspace ONE Access 控制台中生成一个证书签名请求 (CSR)。该 CSR 将发送到证书颁发机构以生成 SAML 签名证书。

注: 要在 Workspace ONE Access 服务中使用外部签名证书,您必须从 Workspace ONE Access 控制台中生成将发送至证书颁发机构的 CSR。

生成证书签名请求

过程

  1. Workspace ONE Access 控制台的资源 > Web 应用程序页面中,选择设置SAML 元数据
  2. 打开生成 CSR 选项卡。
  3. 输入请求的信息。
    选项 描述
    公用名 输入完全限定域名。例如,www.example.com
    组织 输入组织的合法注册名称。例如,Mycompany, Inc.
    部门 输入在证书中添加的公司部门。例如 IT Services
    城市 输入您的组织所在的合法城市。
    省/自治区/直辖市 输入您的组织所在的省/自治区/直辖市或地区。请不要使用缩写。
    国家/地区 输入您的国家/地区名称的几个字母以从列表中选择正确的国家/地区。
    密钥生成算法 选择用于对 CSR 进行签名的安全哈希算法。
    密钥大小 选择在密钥中使用的位数。建议使用 RSA 2048。小于 2048 的 RSA 密钥大小被认为是不安全的。
  4. 单击生成

复制 CSR,并将其提供给证书颁发机构以创建证书。

上载证书颁发机构签名证书

在收到证书后,将证书上载到 Workspace ONE Access 服务。CA 将替换自签名证书。

  1. Workspace ONE Access 控制台的资源 > Web 应用程序页面中,选择设置SAML 元数据
  2. 打开生成 CSR 选项卡。
  3. 单击上载证书并导航到该证书。
  4. 单击打开

    将使用新证书更新 Workspace ONE Access 控制台中的 SAML 签名证书和 SAML 元数据文件。

  5. 转到集成 > 连接器页面,然后单击每个连接器的重新启动

    将在连接器中更新元数据。

接下来,将使用更新的 SAML 元数据文件重新配置所有 SAML 服务提供程序和身份提供程序配置。如果未完成该操作,SAML 事务将失败,并且单点登无法正常工作。请参阅从 Workspace ONE Access 下载 SAML 签名证书以通过信赖应用程序进行配置