对于 Android 证书身份验证,证书代理服务将在 VMware Identity Manager 节点上作为一项独立服务运行,以便在端口 5262 上接收连接,并将连接转发到端口 443 上的 VMware identity Manager 服务以进行身份验证。

VMware Identity Manager 的 HTTPS 443 流量可以在负载平衡器/反向代理上设置为第 7 层 SSL 卸载,或者可以作为第 4 层 TCP 经由 SSL 直通传输到后端服务器。当为 443 流量配置了 SSL 直通时,公开信任的证书会在端口 443 上的 VMware Identity Manager 服务与端口 5262 上的 CertProxy 服务之间共享。无需进行其他配置。

如果 HTTPS 流量在负载平衡器/反向代理上进行 SSL 卸载,则 VMware Identity Manager 服务会使用应用程序安装过程中生成的自签名证书建立信任关系。由于端口 5262 必须设置为具有 SSL 直通功能的 SSL 第 4 层 TCP(需要公开信任的 SSL 证书),这将导致主机上运行的两个服务之间的证书不匹配。为了避免此问题,CertProxy 服务要求在服务器上配置一个辅助端口 5263。端口 5263 与在 VMware Identity Manager 服务上运行的端口共享相同的自签名证书。配置额外的端口 5263 不仅可允许在适用于 Android 的移动 SSO 过程中进行安全可靠的通信,而且还允许在负载平衡器上进行 HTTPS 流量解密。

决定对 HTTP 443 流量进行 SSL 重新加密还是 SSL 卸载

以下决策表有助于您在 VMware Identity Manager 服务中设置证书代理服务。

在此表中,SAN 证书定义为包含 VMware Identity Manager VIP FQDN 和每个节点计算机 FQDN 的证书。FQDN 采用不可路由的域/子域格式。根据您的 VMware 设计,请使用该表确定是否配置了端口 5263。

表 1. 证书代理配置决策表

公共命名空间

DMZ 命名空间

证书类型

负载平衡器要求

是否需要证书代理端口 5263

共享命名空间 (.com / .com)

example.com

example.com

通配符,SAN

需要 SSL 重新加密

example.com

example.com

单个主机 CN

需要 SSL 重新加密

example.com

example.com

通配符,SAN

需要 SSL 直通

非连续命名空间 (.com / .dmz)

example.com

example.dmz

通配符,单个主机 CN

需要 SSL 重新加密

example.com

example.dmz

SAN

需要 SSL 重新加密

example.com

example.dmz

SAN

需要 SAN 直通

图 1. DMZ 中的 VMware Identity Manager 代理端口配置,仅配置了端口 5262
图 2.