Bevor Sie den Workflow zum Hochladen von Pod-Zertifikaten ausführen, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind. Sie müssen, wie unten beschrieben, über die zertifikatsbezogenen Dateien verfügen, um die Kriterien im Fenster „Pod-Zertifikat hochladen“ zu erfüllen und den Workflow erfolgreich abschließen zu können.
DNS-Server
Ordnen Sie auf Ihrem DNS-Server einen vollqualifizierten Domänennamen (FQDN) der IP-Adresse zu, die auf der Detailseite des Pods angezeigt wird und die als Lastausgleichsdienst-IP des Pod-Managers gekennzeichnet ist. Sie können auf der Seite „Kapazität“ zur Detailseite des Pods navigieren und auf den Namen des Pods klicken.
Informationen zur Bedeutung der IP-Adresse, die neben der Bezeichnung Lastausgleichsdienst-IP des Pod-Managers angezeigt wird, finden Sie unter Übersicht über das Konfigurieren von SSL-Zertifikaten auf den Manager-VMs des Horizon Cloud-Pods für die primäre Verwendung durch den Workspace ONE Access Connector mit Pods in einer Umgebung mit Einzel-Pod-Brokering.
Sie verwenden diesen FQDN, wenn Sie die SSL-Zertifikatdateien beziehen, wie im folgenden Abschnitt beschrieben.
SSL-Zertifikatdateien
Im Fenster „Pod-Zertifikat hochladen“ der Konsole müssen Sie drei verschiedene, miteinander verbundene Dateien angeben.
Der folgende Screenshot zeigt, wie das Fenster „Pod-Zertifikat hochladen“ aussieht, in dem Sie die drei Dateien angeben.
Die folgende Liste beschreibt die Dateien, die sich auf die oben abgebildeten Bezeichnungen im Konsolenfenster beziehen.
- CA-Zertifikatdatei (CA.crt)
- Diese CA.crt-Datei wird von einer Zertifizierungsstelle (CA) ausgestellt. Diese Datei wird verwendet, um die Authentizität der beiden anderen, weiter unten beschriebenen Dateien zu überprüfen.
- SSL-Zertifikatdatei (SSL.crt)
- Diese Datei ist eine öffentliche Schlüsseldatei, die für die Verschlüsselung von Daten mit dem RSA-Verschlüsselungsalgorithmus verwendet wird. Die Pod-Manager-Instanzen verwenden diese SSL.crt-Datei, um die von den Pod-Manager-Instanzen gesendeten Daten zu verschlüsseln, wenn der Einzel-Pod-Broker und der Workspace ONE Access Connector mit den Pod-Managern kommunizieren. (Dieser Anwendungsfall wird auf der Seite Übersicht über das Konfigurieren von SSL-Zertifikaten auf den Manager-VMs des Horizon Cloud-Pods für die primäre Verwendung durch den Workspace ONE Access Connector mit Pods in einer Umgebung mit Einzel-Pod-Brokering beschrieben.)
- SSL-Schlüsseldatei (.key)
- Diese Datei ist eine private Schlüsseldatei, die zur Entschlüsselung der Daten verwendet wird, die mit der oben genannten Datei SSL.crt verschlüsselt wurden, wobei der RSA-Verschlüsselungsalgorithmus verwendet wird.
Dateianforderungen
Stellen Sie sicher, dass die Dateien die folgenden Anforderungen erfüllen.
- Die gültigen vertrauenswürdigen SSL-Zertifikate basieren auf dem FQDN, den Sie in Ihrem DNS-Server der Load Balancer-IP der Pod-Manager zugeordnet haben.
- Die CA-Zertifikatdatei (CA.crt) und die SSL-Zertifikatdatei (SSL.crt) sind im PEM-Format, das eine BASE64-kodierte DER-Darstellung eines X.509-Zertifikats ist. Beide müssen die Erweiterung .crt aufweisen.
Der folgende Block ist ein Beispiel dafür, wie der Inhalt der Datei aussehen würde.
-----BEGIN CERTIFICATE----- MIIFejCCA2KgAwIBAgIDAIi/MA0GCSqG ............... -----END CERTIFICATE-----
- Die private Schlüsseldatei (.key) ist nicht mit einem Kennwort oder einer Passphrase versehen. Der folgende Block ist ein Beispiel dafür, wie der Inhalt der Datei aussehen würde.
-----BEGIN RSA PRIVATE KEY ----- MIIEpQIBAAKCAQEAoJmURboiFut+R34CNFibb9fjtI+cpDarUzqe8oGKFzEE/jmj ...................... -----END RSA PRIVATE KEY-----
- Die Zertifikatsdateien müssen eine Hashing-Funktion verwenden, die neuer als SHA-1 ist. Die Verwendung von SHA-1-Zertifikaten auf den Pod-Manager-Instanzen wird nicht unterstützt.
- Lesen Sie den folgenden Abschnitt über besondere Erwägungen in Bezug auf die CA-Zertifikatsdatei und stellen Sie sicher, dass die beschriebenen Anforderungen erfüllt sind, wenn Ihre CA-Zertifikatsdatei ein verketteter Root-CA-Typ ist.
CA-Zertifikatdatei – Besondere Überlegungen
Die CA-Zertifikatsdatei muss von einer vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt sein.
Daher hängt die Erstellung der Datei CA.crt davon ab, welche CA Sie verwenden. Gängige CAs sind beispielsweise DigiCert, Verisign, Google und andere.
Je nach der von Ihnen genutzten Zertifizierungsstelle wird einer dieser Typen angeboten:
- Einzelnes Root-CA-Zertifikat
- Bei diesem Typ signiert die CA das Zertifikat direkt.
- Verkettetes Root-CA-Zertifikat
- Bei diesem Typ sind neben der Stammzertifizierungsstelle eine oder mehrere dritte zwischengeschaltete Zertifizierungsstellen beteiligt.
Wenn Ihre CA-Zertifikatdatei eine oder mehrere zwischengeschaltete Zertifizierungsstellen beinhaltet, dann muss die Datei CA.crt die Zwischenzertifikate und die Root CA enthalten. Die Datei muss mit den Zwischenzertifikaten am Anfang beginnen und das Root-Zertifikat am Ende der Datei enthalten.
Nächste Schritte
Informationen zu den Schritten zum Konfigurieren des SSL-Zertifikats auf den Manager-VMs des Pods finden Sie unter Konfigurieren von SSL-Zertifikaten direkt auf den Pod-Manager-VMs, z. B. beim Integrieren der Workspace ONE Access Connector Appliance mit dem Horizon Cloud-Pod in Microsoft Azure, damit der Connector Verbindungen mit den Pod-Manager-VMs vertrauen kann.
Wenn Ihr Pod-Manifest niedriger als 3139.x ist, wenden Sie sich an den VMware Support, bevor Sie diese Schritte ausführen. Da das Hochladen und Speichern falscher oder nicht ordnungsgemäß geformter SSL-Zertifikatdateien auf den Pod zum Verlust des Zugriffs auf den Pod führen kann und die Standardsicherung und -Wiederherstellung des Diensts ein Manifest von 3139.x oder höher erfordert, ist es wichtig, dass Sie sich an den VMware Support wenden, wenn Ihr Pod-Manifest niedriger als 3139.x ist, bevor Sie den Workflow „Pod-Zertifikat hochladen“ ausführen.
