Konfigurieren der Zertifikatauthentifizierung für ein DMZ-Bereitstellungsszenario

Für die Aktivierung der Zertifikatauthentifizierung für eine lokale Bereitstellung von VMware Identity Manager ist die Einstellung der SSL-Durchleitung am Lastausgleichsdienst erforderlich. In einem DMZ-Bereitstellungsszenario, bei dem der VMware Identity Manager-Dienst in der DMZ und der VMware Identity Manager Connector im internen Netzwerk bereitgestellt wird, können Sie die Zertifikatauthentifizierung auf dem Connector aktivieren, der in den VMware Identity Manager-Dienst eingebettet ist, wenn Sie keinen eingehenden Zugriff auf den Connector ermöglichen möchten.

Verwenden Sie in diesem Szenario den eingebetteten Konnektor nur für die Zertifikatauthentifizierung. Verwenden Sie den externen Konnektor für alle anderen Authentifizierungsmethoden.

Um den eingebetteten Konnektor für die Zertifikatauthentifizierung verwenden zu können, erstellen Sie einen neuen Workspace-Identitätsanbieter für Ihr Verzeichnis, verknüpfen ihn mit dem eingebetteten Konnektor und aktivieren den Zertifikat-Authentifizierungsadapter auf dem eingebetteten Konnektor. Sie können dann für die Verwendung der Authentifizierungsmethode mit Zertifikaten die Richtlinien konfigurieren. Die Richtlinien können auch für jede App festgelegt werden.

Sie müssen auch einen Passthrough-SSL-Port für die Zertifikatauthentifizierung so konfigurieren, dass der SSL-Handshake zwischen dem Endbenutzer und dem eingebetteten Konnektor erfolgt. Sie legen den Port fest, laden das SSL-Zertifikat dafür auf den Seiten der Appliance-Einstellungen hoch und aktivieren SSL-Passthrough für den Port des Lastausgleichsdienstes.

Anderer Datenverkehr verwendet weiterhin Port 443.

Hinweis:

Diese Funktion unterstützt keine lokalen Verzeichnisse. Diese Funktion gilt außerdem nur für lokale DMZ-Bereitstellungen und nicht für alle anderen Installationsszenarien.

Bereitstellungsanforderungen

Am Lastausgleichsdienst vor der VMware Identity Manager-Dienst-Appliance aktivieren Sie SSL-Passthrough für den Port, den Sie als Passthrough-SSL-Port für die Zertifikatauthentifizierung konfiguriert haben. Der Standardport lautet 7443.
Der Port muss im Bereich 1024 bis 65535 liegen und darf nicht 8443 sein, da dies der Admin-Port ist.
Stellen Sie sicher, dass der Port des Lastausgleichsdienstes oder der Firewall geöffnet ist.

Voraussetzungen

Rufen Sie für den SSL-Passthrough-Port auf dem VMware Identity Manager-Server ein signiertes SSL-Zertifikat von einer öffentlichen Zertifizierungsstelle ab. Der Hostname des Zertifikats muss mit dem Hostnamen des Lastausgleichsdienstes übereinstimmen. Auch der Endbenutzer muss das Zertifikat als vertrauenswürdig anerkennen.

Prozedur

Legen Sie den SSL-Passthrough-Port für die Zertifikatauthentifizierung fest.

In der Verwaltungskonsole klicken Sie auf die Registerkarte Appliance-Einstellungen.
Klicken Sie auf Konfiguration verwalten und geben Sie das Kennwort des Admin-Benutzers ein.
Klicken Sie im linken Bereich auf SSL-Zertifikate installieren und wählen Sie die Registerkarte Passthrough-Zertifikat.

Geben Sie die erforderlichen Informationen ein.

Option	Beschreibung
Port	Geben Sie den Port ein, den Sie als SSL-Passthrough-Port für die Zertifikatauthentifizierung verwenden möchten. Der Standardport lautet 7443. Der Port muss im Bereich 1024 bis 65535 liegen und darf nicht 8443 sein, da dies der Admin-Port ist. Hinweis: Der Port ist nur verfügbar, wenn ein Zertifikat hinzugefügt wird.
SSL-Zertifikatskette	Kopieren Sie das SSL-Zertifikat und fügen Sie es ein. Fügen Sie die gesamte Zertifikatskette in der folgenden Reihenfolge ein: Serverzertifikat Zwischenzertifikat Stammzertifikat Kopieren Sie für jedes Zertifikat alle Angaben zwischen den Zeilen -----BEGIN CERTIFICATE----- und -----END CERTIFICATE---- inklusive dieser Zeilen. Die Zertifikate müssen im PEM-Format vorliegen.
Privater Schlüssel	Kopieren Sie den privaten Schlüssel und fügen Sie ihn ein.

Option

Beschreibung

Port

Geben Sie den Port ein, den Sie als SSL-Passthrough-Port für die Zertifikatauthentifizierung verwenden möchten. Der Standardport lautet 7443.

Der Port muss im Bereich 1024 bis 65535 liegen und darf nicht 8443 sein, da dies der Admin-Port ist.

Hinweis:

Der Port ist nur verfügbar, wenn ein Zertifikat hinzugefügt wird.

SSL-Zertifikatskette

Kopieren Sie das SSL-Zertifikat und fügen Sie es ein. Fügen Sie die gesamte Zertifikatskette in der folgenden Reihenfolge ein:

Serverzertifikat

Zwischenzertifikat

Stammzertifikat

Kopieren Sie für jedes Zertifikat alle Angaben zwischen den Zeilen -----BEGIN CERTIFICATE----- und -----END CERTIFICATE---- inklusive dieser Zeilen.

Die Zertifikate müssen im PEM-Format vorliegen.

Privater Schlüssel

Kopieren Sie den privaten Schlüssel und fügen Sie ihn ein.

Klicken Sie auf Hinzufügen.

Der Server wird neu gestartet.

Erstellen Sie einen neuen Workspace-Identitätsanbieter.

Klicken Sie auf die Registerkarte Identitäts- und Zugriffsmanagement und dann auf die Registerkarte Identitätsanbieter.
Klicken Sie auf Identitätsanbieter hinzufügen und wählen Sie Workspace-Identitätsanbieter erstellen aus.

Geben Sie die Informationen für den neuen Identitätsanbieter ein.

Option	Beschreibung
Name des Identitätsanbieters	Geben Sie einen Namen für den Identitätsanbieter ein.
Benutzer	Wählen Sie das Verzeichnis, für das Sie die Zertifikatauthentifizierung aktivieren möchten. Hinweis: Diese Funktion unterstützt keine lokalen Verzeichnisse.
Konnektor(en)	Wählen Sie aus dem Dropdown-Menü Connector hinzufügen den eingebetteten Konnektor aus. Der eingebettete Konnektor hat denselben Hostnamen wie der Dienst. Deaktivieren Sie das Kontrollkästchen Bindung an AD. Klicken Sie auf Konnektor hinzufügen. Wichtig: Wählen Sie nicht die Option Bindung an AD.
Netzwerk	Wählen Sie die Netzwerkbereiche aus, von denen auf den Identitätsanbieter zugegriffen werden kann.

Klicken Sie auf Hinzufügen.

Legen Sie den Port für den eingebetteten Konnektor fest.
1. Klicken Sie auf die Registerkarte Identitäts- und Zugriffsmanagement und dann auf Einrichten.
2. Auf der Seite „Konnektoren“ klicken Sie auf den neuen Workspace-Identitätsanbieter, den Sie für den eingebetteten Konnektor erstellt haben.
3. Ändern Sie den Wert im Textfeld IdP-Hostname von Hostname in Hostname:Port, wobei Port der benutzerdefinierte Port ist, den Sie in Schritt 1 für die Zertifikatauthentifizierung konfiguriert haben.
4. Klicken Sie auf Speichern.
Aktivieren Sie den „CertificateAuthAdapter“ auf dem eingebetteten Konnektor.
1. Klicken Sie auf Einrichten.
2. Suchen Sie auf der Seite „Konnektoren“ nach dem eingebetteten Konnektor.
  
  Der eingebettete Konnektor hat denselben Hostnamen wie der Dienst.
3. Klicken Sie in der Zeile „Eingebetteter Konnektor“ auf den Link in der Spalte Worker.
  
  Jedem Worker ist ein Verzeichnis zugeordnet. Wenn mehrere Worker aufgelistet sind, klicken Sie auf den Worker-Link für das Verzeichnis, für das Sie die Zertifikatauthentifizierung aktivieren möchten.
4. Klicken Sie auf die Registerkarte Authentifizierungsadapter.
5. Klicken Sie auf CertificateAuthAdapter.
6. Konfigurieren und aktivieren Sie den Adapter. Weitere Informationen finden Sie unter Administration von VMware Identity Manager.
7. Klicken Sie auf Speichern.
Stellen Sie sicher, dass die Seite „Identitätsanbieter“ die Authentifizierungsmethode mit Zertifikaten anzeigt.
1. Klicken Sie auf Verwalten und dann auf die Registerkarte Identitätsanbieter.
2. Stellen Sie sicher, dass für den neuen Identitätsanbieter, den Sie erstellt haben, die Option Zertifikatauthentifizierung in der Spalte Authentifizierungsmethoden angezeigt wird.
Konfigurieren Sie Richtlinien, um je nach Bedarf die Authentifizierungsmethode mit Zertifikaten zu verwenden.
1. Klicken Sie auf Verwalten und dann auf die Registerkarte Identitätsanbieter.
2. Klicken Sie zum Bearbeiten auf die Richtlinie.
3. Konfigurieren Sie Richtlinienregeln, um je nach Bedarf die Authentifizierungsmethode mit Zertifikaten zu verwenden.
Weitere Informationen zum Erstellen von Richtlinien finden Sie unter Administration von VMware Identity Manager.