Wenn der VMware Identity Manager-Dienst installiert ist, wird ein standardmäßiges SSL-Serverzertifikat generiert. Sie können für Testzwecke dieses selbstsignierte Zertifikat verwenden. Die Verwendung von SSL-Zertifikaten, die von einer öffentlichen Zertifizierungsstelle (CA) signiert sind, wird für Ihre Produktionsumgebung jedoch dringend empfohlen.

Hinweis: Wenn ein Lastausgleichsdienst SSL vor dem VMware Identity Manager beendet, wird das SSL-Zertifikat auf den Lastausgleichsdienst angewendet.

Voraussetzungen

  • Generieren Sie eine Zertifikatssignieranforderung (Certificate Signing Request, CSR) und beziehen Sie ein gültiges, signiertes SSL-Zertifikat von einer Zertifizierungsstelle. Das Zertifikat kann entweder eine PEM- oder eine PFX-Datei sein.
  • Verwenden Sie für den Common Name-Teil des Antragsteller-DN den vollqualifizierten Domänennamen, mit dem die Benutzer auf den VMware Identity Manager-Dienst zugreifen. Wenn sich die VMware Identity Manager-Appliance hinter einem Lastausgleichsdienst befindet, ist das der Name des Lastausgleichsdiensts.
  • Wenn SSL nicht am Lastausgleichsdienst endet, muss das von dem Dienst verwendete SSL-Zertifikat die alternativen Antragstellernamen (Subject Alternative Names, SANs) für alle vollqualifizierten Domänennamen im VMware Identity Manager-Cluster enthalten. Durch die Einbeziehung des SAN können die Knoten innerhalb des Clusters Anforderungen untereinander stellen. Enthält auch ein SAN für den FQDN-Hostnamen, den Benutzer für den Zugriff auf den VMware Identity Manager-Dienst neben der Verwendung für den allgemeinen Namen verwenden, da dies bei einigen Browsern erforderlich ist.
  • Wenn Ihre Bereitstellung ein sekundäres Datencenter enthält, stellen Sie sicher, dass das VMware Identity Manager-Zertifikat den FQDN für den Lastausgleichsdienst des primären Datencenters sowie den FQDN für den Lastausgleichsdienst des sekundären Datencenters enthält. Ansonsten muss das Zertifikat ein Platzhalterzertifikat sein.

Prozedur

  1. Klicken Sie in der VMware Identity Manager-Konsole auf die Registerkarte Appliance Einstellungen.
  2. Klicken Sie auf Konfiguration verwalten und geben Sie das Kennwort des Admin-Benutzers ein.
  3. Wählen Sie SSL-Zertifikate installieren > Serverzertifikat.
  4. Wählen Sie auf der Registerkarte „SSL-Zertifikat“ die Option Benutzerdefiniertes Zertifikat aus.
  5. Um die Zertifikatsdatei zu importieren, klicken Sie auf Datei auswählen und navigieren Sie zu der zu importierenden Zertifikatsdatei.
    Wenn eine PEM-Datei importiert wird, stellen Sie sicher, dass die Datei die gesamte Zertifikatskette in der richtigen Reihenfolge enthält. Alle Angaben zwischen den Zeilen -----BEGIN CERTIFICATE----- und -----END CERTIFICATE---- inklusive dieser Zeilen müssen enthalten sein.
  6. Wenn eine PEM-Datei importiert wird, importieren Sie den privaten Schlüssel. Klicken Sie auf Datei auswählen und navigieren Sie zur Datei des privaten Schlüssels. Alles zwischen ----BEGIN RSA PRIVATE KEY und ---END RSA PRIVATE KEY muss enthalten sein.
    Wenn eine PFX-Datei importiert wird, geben Sie das PFX-Kennwort ein.
  7. Klicken Sie auf Speichern.

Beispiel: Beispiel für ein PEM-Zertifikat

Zertifikatkette – Beispiel
-----ZERTIFIKATANFANG-----

jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+

...

W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1

-----ZERTIFIKATENDE-----
-----ZERTIFIKATANFANG-----

WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+

...

O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1

-----ZERTIFIKATENDE-----
-----ZERTIFIKATANFANG-----

dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+

...

5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1

-----ZERTIFIKATENDE-----
Beispiel für einen privaten Schlüssel
——-BEGINN PRIVATER RSA SCHLÜSSEL——-

jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+

...

1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1

——-ENDE PRIVATER RSA SCHLÜSSEL——-