Wenn der Workspace ONE Access-Dienst installiert ist, wird ein standardmäßiges SSL-Serverzertifikat generiert. Sie können für Testzwecke dieses selbstsignierte Zertifikat verwenden. Die Verwendung von SSL-Zertifikaten, die von einer öffentlichen Zertifizierungsstelle (CA) signiert sind, wird für Ihre Produktionsumgebung jedoch dringend empfohlen.

Hinweis: Wenn ein Lastausgleichsdienst SSL vor dem Workspace ONE Access beendet, wird das SSL-Zertifikat auf den Lastausgleichsdienst angewendet.

Voraussetzungen

  • Generieren Sie eine Zertifikatssignieranforderung (Certificate Signing Request, CSR) und beziehen Sie ein gültiges, signiertes SSL-Zertifikat von einer Zertifizierungsstelle. Das Zertifikat kann entweder eine PEM- oder eine PFX-Datei sein. PEM-Zertifikate, die mit dem privaten Schlüssel mit dem Standard PKCS-#1 codiert sind.

    Wenn eine PEM-Datei importiert wird, stellen Sie sicher, dass die Datei die gesamte Zertifikatskette in der richtigen Reihenfolge enthält. Stellen Sie sicher, dass jedes Zertifikat die Tags -----BEGIN CERTIFICATE----- und -----END CERTIFICATE---- enthält. Die Reihenfolge ist zuerst das primäre Zertifikat, dann das Zwischenzertifikat und dann das ROOT-Zertifikat.

  • Verwenden Sie für den Common Name-Teil des Antragsteller-DN den vollqualifizierten Domänennamen, mit dem die Benutzer auf den Workspace ONE Access-Dienst zugreifen. Wenn sich die Workspace ONE Access-Appliance hinter einem Lastausgleichsdienst befindet, ist das der Name des Lastausgleichsdiensts.
  • Wenn SSL nicht am Lastausgleichsdienst endet, muss das von dem Dienst verwendete SSL-Zertifikat die alternativen Antragstellernamen (Subject Alternative Names, SANs) für alle vollqualifizierten Domänennamen im Workspace ONE Access-Cluster enthalten. Durch die Einbeziehung des SAN können die Knoten innerhalb des Clusters Anforderungen untereinander stellen. Enthält auch ein SAN für den FQDN-Hostnamen, den Benutzer für den Zugriff auf den Workspace ONE Access-Dienst neben der Verwendung für den allgemeinen Namen verwenden, da dies bei einigen Browsern erforderlich ist.
  • Wenn Ihre Bereitstellung ein sekundäres Datencenter enthält, stellen Sie sicher, dass das Workspace ONE Access-Zertifikat den FQDN für den Lastausgleichsdienst des primären Datencenters sowie den FQDN für den Lastausgleichsdienst des sekundären Datencenters enthält. Ansonsten muss das Zertifikat ein Platzhalterzertifikat sein.

Prozedur

  1. Melden Sie sich bei der Workspace ONE Access-Konsole an.
  2. Wählen Sie Überwachen > Resilienz aus.
  3. Klicken Sie bei dem zu konfigurierenden Dienstknoten auf VA-Konfiguration und melden Sie sich mit dem Administratorbenutzerkennwort an.
  4. Wählen Sie SSL-Zertifikate installieren > Serverzertifikat.
  5. Wählen Sie auf der Registerkarte „SSL-Zertifikat“ die Option Benutzerdefiniertes Zertifikat aus.
  6. Um die Zertifikatsdatei zu importieren, klicken Sie auf Datei auswählen und navigieren Sie zu der zu importierenden Zertifikatsdatei.
    Wenn eine PEM-Datei importiert wird, stellen Sie sicher, dass die Datei die gesamte Zertifikatskette in der richtigen Reihenfolge enthält. Stellen Sie sicher, dass jedes Zertifikat die Tags -----BEGIN CERTIFICATE----- und -----END CERTIFICATE---- enthält. Die Reihenfolge ist zuerst das primäre Zertifikat und dann das Zwischenzertifikat.
  7. Wenn eine PEM-Datei importiert wird, importieren Sie den privaten Schlüssel. Klicken Sie auf Datei auswählen und navigieren Sie zur Datei des privaten Schlüssels. Alles zwischen ----BEGIN RSA PRIVATE KEY und ---END RSA PRIVATE KEY muss enthalten sein.
    Wenn eine PFX-Datei importiert wird, geben Sie das PFX-Kennwort ein.
  8. Klicken Sie auf Speichern.

Beispiel: Beispiel für ein PEM-Zertifikat

Zertifikatkette – Beispiel
-----ZERTIFIKATANFANG-----

(Ihr primäres SSL-Zertifikat: your_domain_name.crt)

-----ZERTIFIKATENDE-----
-----ZERTIFIKATANFANG-----

(Ihr Zwischenzertifikat: <CA>.crt)

-----ZERTIFIKATENDE-----
-----ZERTIFIKATANFANG-----

Ihr Root-Zertifikat: TrustedRoot.crt)

-----ZERTIFIKATENDE-----
Beispiel für einen privaten Schlüssel
——-BEGINN PRIVATER RSA SCHLÜSSEL——-

(Ihr privater Schlüssel: your_domain_name.key)

——-ENDE PRIVATER RSA SCHLÜSSEL——-