Wenn der VMware Identity Manager-Dienst installiert ist, wird ein standardmäßiges SSL-Serverzertifikat generiert. Sie können für Testzwecke dieses selbstsignierte Zertifikat verwenden. Die Verwendung von SSL-Zertifikaten, die von einer öffentlichen Zertifizierungsstelle (CA) signiert sind, wird für Ihre Produktionsumgebung jedoch dringend empfohlen.

Hinweis:

Wenn ein Lastausgleichsdienst SSL vor dem VMware Identity Manager beendet, wird das SSL-Zertifikat auf den Lastausgleichsdienst angewendet.

Voraussetzungen

  • Generieren Sie eine Zertifikatssignieranforderung (Certificate Signing Request, CSR) und beziehen Sie ein gültiges, signiertes SSL-Zertifikat von einer Zertifizierungsstelle. Das Zertifikat kann entweder eine PEM- oder eine PFX-Datei sein.

  • Verwenden Sie für den Common Name-Teil des Antragsteller-DN den vollqualifizierten Domänennamen, mit dem die Benutzer auf den VMware Identity Manager-Dienst zugreifen. Wenn sich die VMware Identity Manager-Appliance hinter einem Lastausgleichsdienst befindet, ist das der Name des Lastausgleichsdiensts.

  • Wenn SSL nicht am Lastausgleichsdienst endet, muss das von dem Dienst verwendete SSL-Zertifikat die alternativen Antragstellernamen (Subject Alternative Names, SANs) für alle vollqualifizierten Domänennamen im VMware Identity Manager-Cluster enthalten. Durch die Einbeziehung des SAN können die Knoten innerhalb des Clusters Anforderungen untereinander stellen. Enthält auch ein SAN für den FQDN-Hostnamen, den Benutzer für den Zugriff auf den VMware Identity Manager-Dienst neben der Verwendung für den allgemeinen Namen verwenden, da dies bei einigen Browsern erforderlich ist.

Prozedur

  1. Klicken Sie in der VMware Identity Manager-Konsole auf die Registerkarte Appliance Einstellungen.
  2. Klicken Sie auf Manuelle Konfiguration und geben Sie das Kennwort des Admin-Benutzers ein.
  3. Wählen Sie SSL-Zertifikate installieren > Serverzertifikat.
  4. Wählen Sie auf der Registerkarte „SSL-Zertifikat“ die Option Benutzerdefiniertes Zertifikat aus.
  5. Um die Zertifikatsdatei zu importieren, klicken Sie auf Datei auswählen und navigieren Sie zu der zu importierenden Zertifikatsdatei.

    Wenn eine PEM-Datei importiert wird, stellen Sie sicher, dass die Datei die gesamte Zertifikatskette in der richtigen Reihenfolge enthält. Alle Angaben zwischen den Zeilen -----BEGIN CERTIFICATE----- und -----END CERTIFICATE---- inklusive dieser Zeilen müssen enthalten sein.

  6. Wenn eine PEM-Datei importiert wird, importieren Sie den privaten Schlüssel. Klicken Sie auf Datei auswählen und navigieren Sie zur Datei des privaten Schlüssels. Alles zwischen ----BEGIN RSA PRIVATE KEY und ---END RSA PRIVATE KEY muss enthalten sein.

    Wenn eine PFX-Datei importiert wird, geben Sie das PFX-Kennwort ein.

  7. Klicken Sie auf Speichern.

Beispiel für ein PEM-Zertifikat

Zertifikatkette – Beispiel

-----ZERTIFIKATANFANG-----

jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+

...

W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1

-----ZERTIFIKATENDE-----

-----ZERTIFIKATANFANG-----

WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+

...

O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1

-----ZERTIFIKATENDE-----

-----ZERTIFIKATANFANG-----

dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+

...

5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1

-----ZERTIFIKATENDE-----

Beispiel für einen privaten Schlüssel

——-BEGINN PRIVATER RSA SCHLÜSSEL——-

jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+

...

1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1

——-ENDE PRIVATER RSA SCHLÜSSEL——-