Für Workspace ONE Access Connector-Server, auf denen der Kerberos-Authentifizierungsdienst installiert ist, ist ein vertrauenswürdiges SSL-Zertifikat erforderlich. Für den Kerberos-Authentifizierungsdienst-Dienst ist die Verbindung eingehend und die Endbenutzer richten SSL-Verbindungen mit dem Konnektor ein.

Zu den Anforderungen für das vertrauenswürdige SSL-Zertifikat für den Kerberos-Authentifizierungsdienst gehören:

  • Das Zertifikat muss im PEM- oder PFX-Format vorliegen.
  • Wenn es sich bei dem Zertifikat um eine PEM-Datei handelt, müssen Sie auch den privaten Schlüssel hochladen.
  • Die Länge des Zertifikatsschlüssels muss zwischen 1024 und 3072 Bit liegen.
  • Stellen Sie sicher, dass die Zertifikatsdatei die gesamte Zertifikatskette in der richtigen Reihenfolge enthält.
  • Das Zertifikat muss von einer öffentlichen oder internen Zertifizierungsstelle signiert sein.
  • Wenn Sie mehrere Instanzen des Kerberos-Authentifizierungsdiensts bereitstellen, um Hochverfügbarkeit für die Kerberos-Authentifizierung einzurichten, ist ein Lastausgleichsdienst vor den Instanzen erforderlich. In diesem Fall müssen sowohl der Lastausgleichsdienst als auch alle Konnektor-Instanzen über vertrauenswürdige SSL-Zertifikate verfügen, die von einer öffentlichen oder internen Zertifizierungsstelle signiert wurden. Verwenden Sie für das Zertifikat für den Lastausgleichsdienst den Workspace-IdP-Hostname, der auf der Workspace-IdP-Konfigurationsseite festgelegt ist, als den Common Name des Antragsteller-DN. Verwenden Sie für jedes Zertifikat für die Connector-Instanz den Connector-Hostnamen als den Common Name des Antragsteller-DN. Alternativ dazu können Sie ein einzelnes Zertifikat erstellen mithilfe des Workspace-Idp-Hostname als Antragsteller-DN Common Name, und alle Connector-Hostnamen sowie der Workspace-Idp-Hostname als Alternative Antragstellernamen (SANs).
Hinweis: Wenn Sie bei der Installation kein vertrauenswürdiges SSL-Zertifikat hochgeladen haben, wurde automatisch ein selbstsigniertes Zertifikat generiert. Wenn Sie dieses von Workspace ONE Access generierte selbstsignierte Zertifikat verwenden möchten, müssen Sie das durch Workspace ONE Access generierte Rootzertifikat zu den Trust Stores der Kunden hinzufügen. Sie können das Rootzertifikat root_ca.per aus dem Verzeichnis INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf abrufen.

Das selbstsignierte Zertifikat kann für Testzwecke verwendet werden. Für Produktionszwecke empfehlen wir Ihnen jedoch, von einer öffentlichen oder internen Zertifizierungsstelle signierte SSL-Zertifikate zu verwenden.

Voraussetzungen

Rufen Sie ein vertrauenswürdiges SSL-Zertifikat ab, das von einer öffentlichen oder internen Zertifizierungsstelle signiert wurde.

Prozedur

  1. Melden Sie sich beim Workspace ONE Access Connector-Server an, auf dem der Kerberos-Authentifizierungsdienst installiert ist.
  2. Wechseln Sie zu dem Ordner, der das Konnektor-Installationsprogramm enthält, und doppelklicken Sie auf die Datei Workspace ONE Access Connector Installer.exe.
  3. Klicken Sie auf der Begrüßungsseite auf Weiter.
  4. Wählen Sie auf der Seite „Programmwartung“ die Option Dienste hinzufügen/entfernen aus und klicken Sie auf Weiter.
  5. Klicken Sie auf Weiter, bis die Seite SSL-Zertifikat für Kerberos-Authentifizierungsdienst installieren angezeigt wird.
  6. Aktivieren Sie das Kontrollkästchen Möchten Sie Ihr eigenes SSL-Zertifikat verwenden?.
  7. Klicken Sie auf Durchsuchen und wählen Sie die Zertifikatsdatei aus.
    Die Zertifikatsdatei muss im PEM- oder PFX-Format vorliegen. Wenn Sie eine PEM-Datei hochladen, laden Sie auch den privaten Schlüssel hoch. Wenn Sie eine PFX-Datei hochladen, geben Sie auch das Zertifikatkennwort an.