对于 Android 证书身份验证,证书代理服务将在 Workspace ONE Access 节点上作为一项独立服务运行,以便在端口 5262 上接收连接,并将连接转发到端口 443 上的 Workspace ONE Access 服务以进行身份验证。

Workspace ONE Access 的 HTTPS 443 流量可以在负载均衡器/反向代理上设置为第 7 层 SSL 卸载,或者可以作为第 4 层 TCP 经由 SSL 直通传输到后端服务器。当为 443 流量配置了 SSL 直通时,公开信任的证书会在端口 443 上的 Workspace ONE Access 服务与端口 5262 上的 CertProxy 服务之间共享。无需进行其他配置。

如果 HTTPS 流量在负载均衡器/反向代理上进行 SSL 卸载,则 Workspace ONE Access 服务会使用应用程序安装过程中生成的自签名证书建立信任关系。由于端口 5262 必须设置为具有 SSL 直通功能的 SSL 第 4 层 TCP(需要公开信任的 SSL 证书),这将导致主机上运行的两个服务之间的证书不匹配。为了避免此问题,CertProxy 服务要求在服务器上配置一个辅助端口 5263。端口 5263 与在 Workspace ONE Access 服务上运行的端口共享相同的自签名证书。配置额外的端口 5263 不仅可允许在适用于 Android 的移动 SSO 过程中进行安全可靠的通信,而且还允许在负载均衡器上进行 HTTPS 流量解密。

决定对 HTTP 443 流量进行 SSL 重新加密还是 SSL 卸载

以下决策表有助于您在 Workspace ONE Access 服务中设置证书代理服务。

在此表中,SAN 证书定义为包含 Workspace ONE Access VIP FQDN 和每个节点计算机 FQDN 的证书。FQDN 采用不可路由的域/子域格式。根据您的 VMware 设计,请使用该表确定是否配置了端口 5263。

表 1. 证书代理配置决策表
公共命名空间 DMZ 命名空间 证书类型 负载均衡器要求 是否需要证书代理端口 5263
共享命名空间 (.com / .com)
example.com example.com 通配符,SAN 需要 SSL 重新加密
example.com example.com 单个主机 CN 需要 SSL 重新加密
example.com example.com 通配符,SAN 需要 SSL 直通
非连续命名空间 (.com / .dmz)
example.com example.dmz 通配符,单个主机 CN 需要 SSL 重新加密
example.com example.dmz SAN 需要 SSL 重新加密
example.com example.dmz SAN 需要 SSL 直通
图 1. DMZ 中的 Workspace ONE Access 代理端口配置,仅配置了端口 5262
为端口 5262 配置的 Workspace ONE Access 代理端口图
图 2. DMZ 中配置了端口 5262 和端口 5263 的 Workspace ONE Access 代理端口配置
为端口 5262 和 5263 配置的 Workspace ONE Access 代理端口图