Wenn der Workspace ONE Access-Dienst installiert ist, wird ein standardmäßiges SSL-Serverzertifikat generiert. Sie können für Testzwecke dieses selbstsignierte Zertifikat verwenden. Die Verwendung von SSL-Zertifikaten, die von einer öffentlichen Zertifizierungsstelle (CA) signiert sind, wird für Ihre Produktionsumgebung jedoch dringend empfohlen.

Hinweis: Wenn ein Lastausgleichsdienst SSL vor dem Workspace ONE Access beendet, wird das SSL-Zertifikat auf den Lastausgleichsdienst angewendet.

Voraussetzungen

  • Generieren Sie eine Zertifikatssignieranforderung (Certificate Signing Request, CSR) und beziehen Sie ein gültiges, signiertes SSL-Zertifikat von einer Zertifizierungsstelle. Das Zertifikat kann entweder eine PEM- oder eine PFX-Datei sein. PEM-Zertifikate, die mit dem privaten Schlüssel mit dem Standard PKCS-#1 codiert sind.

    Wenn eine PEM-Datei importiert wird, stellen Sie sicher, dass die Datei die gesamte Zertifikatskette in der richtigen Reihenfolge enthält. Stellen Sie sicher, dass jedes Zertifkat die Tags -----BEGIN CERTIFICATE----- und -----END CERTIFICATE---- enthält. Die Reihenfolge ist zuerst das primäre Zertifikat, dann das Zwischenzertifikat und dann das ROOT-Zertifikat.

  • Verwenden Sie für den Common Name-Teil des Antragsteller-DN den vollqualifizierten Domänennamen, mit dem die Benutzer auf den Workspace ONE Access-Dienst zugreifen. Wenn sich die Workspace ONE Access-Appliance hinter einem Lastausgleichsdienst befindet, ist das der Name des Lastausgleichsdiensts.
  • Wenn SSL nicht am Lastausgleichsdienst endet, muss das von dem Dienst verwendete SSL-Zertifikat die alternativen Antragstellernamen (Subject Alternative Names, SANs) für alle vollqualifizierten Domänennamen im Workspace ONE Access-Cluster enthalten. Durch die Einbeziehung des SAN können die Knoten innerhalb des Clusters Anforderungen untereinander stellen. Enthält auch ein SAN für den FQDN-Hostnamen, den Benutzer für den Zugriff auf den Workspace ONE Access-Dienst neben der Verwendung für den allgemeinen Namen verwenden, da dies bei einigen Browsern erforderlich ist.

Prozedur

  1. Melden Sie sich bei der Workspace ONE Access-Konsole an.
  2. Wählen Sie Dashboard > Systemdiagnose-Dashboard aus.
  3. Klicken Sie bei dem zu konfigurierenden Dienstknoten auf VA-Konfiguration und melden Sie sich mit dem Administratorbenutzerkennwort an.
  4. Wählen Sie SSL-Zertifikate installieren > Serverzertifikat.
  5. Wählen Sie auf der Registerkarte „SSL-Zertifikat“ die Option Benutzerdefiniertes Zertifikat aus.
  6. Um die Zertifikatsdatei zu importieren, klicken Sie auf Datei auswählen und navigieren Sie zu der zu importierenden Zertifikatsdatei.
    Wenn eine PEM-Datei importiert wird, stellen Sie sicher, dass die Datei die gesamte Zertifikatskette in der richtigen Reihenfolge enthält. Stellen Sie sicher, dass jedes Zertifkat die Tags -----BEGIN CERTIFICATE----- und -----END CERTIFICATE---- enthält. Die Reihenfolge ist zuerst das primäre Zertifikat und dann das Zwischenzertifikat.
  7. Wenn eine PEM-Datei importiert wird, importieren Sie den privaten Schlüssel. Klicken Sie auf Datei auswählen und navigieren Sie zur Datei des privaten Schlüssels. Alles zwischen ----BEGIN RSA PRIVATE KEY und ---END RSA PRIVATE KEY muss enthalten sein.
    Wenn eine PFX-Datei importiert wird, geben Sie das PFX-Kennwort ein.
  8. Klicken Sie auf Speichern.

Beispiel: Beispiel für ein PEM-Zertifikat

Zertifikatkette – Beispiel
-----ZERTIFIKATANFANG-----

(Ihr primäres SSL-Zertifikat: your_domain_name.crt)

-----ZERTIFIKATENDE-----
-----ZERTIFIKATANFANG-----

(Ihr Zwischenzertifikat: <CA>.crt)

-----ZERTIFIKATENDE-----
-----ZERTIFIKATANFANG-----

Ihr Root-Zertifikat: TrustedRoot.crt)

-----ZERTIFIKATENDE-----
Beispiel für einen privaten Schlüssel
——-BEGINN PRIVATER RSA SCHLÜSSEL——-

(Ihr privater Schlüssel: your_domain_name.key)

——-ENDE PRIVATER RSA SCHLÜSSEL——-