Für Workspace ONE Access Connector-Server, auf denen der Kerberos-Authentifizierungsdienst installiert ist, ist ein vertrauenswürdiges SSL-Zertifikat erforderlich. Für den Kerberos-Authentifizierungsdienst-Dienst ist die Verbindung eingehend und die Endbenutzer richten SSL-Verbindungen mit dem Konnektor ein.
Zu den Anforderungen für das vertrauenswürdige SSL-Zertifikat für den Kerberos-Authentifizierungsdienst gehören:
- Das Zertifikat muss im PEM- oder PFX-Format vorliegen.
- Wenn es sich bei dem Zertifikat um eine PEM-Datei handelt, müssen Sie auch den privaten Schlüssel hochladen.
- Die Länge des Zertifikatsschlüssels muss zwischen 1024 und 3072 Bit liegen.
- Stellen Sie sicher, dass die Zertifikatsdatei die gesamte Zertifikatskette in der richtigen Reihenfolge enthält.
- Das Zertifikat muss von einer öffentlichen oder internen Zertifizierungsstelle signiert sein.
- Wenn Sie mehrere Instanzen des Kerberos-Authentifizierungsdiensts bereitstellen, um Hochverfügbarkeit für die Kerberos-Authentifizierung einzurichten, ist ein Lastausgleichsdienst vor den Instanzen erforderlich. In diesem Fall müssen sowohl der Lastausgleichsdienst als auch alle Konnektor-Instanzen über vertrauenswürdige SSL-Zertifikate verfügen, die von einer öffentlichen oder internen Zertifizierungsstelle signiert wurden. Verwenden Sie für das Zertifikat für den Lastausgleichsdienst den Workspace-IdP-Hostname, der auf der Workspace-IdP-Konfigurationsseite festgelegt ist, als den Common Name des Antragsteller-DN. Verwenden Sie für jedes Zertifikat für die Connector-Instanz den Connector-Hostnamen als den Common Name des Antragsteller-DN. Alternativ dazu können Sie ein einzelnes Zertifikat erstellen mithilfe des Workspace-Idp-Hostname als Antragsteller-DN Common Name, und alle Connector-Hostnamen sowie der Workspace-Idp-Hostname als Alternative Antragstellernamen (SANs).
Das selbstsignierte Zertifikat kann für Testzwecke verwendet werden. Für Produktionszwecke empfehlen wir Ihnen jedoch, von einer öffentlichen oder internen Zertifizierungsstelle signierte SSL-Zertifikate zu verwenden.
Voraussetzungen
Rufen Sie ein vertrauenswürdiges SSL-Zertifikat ab, das von einer öffentlichen oder internen Zertifizierungsstelle signiert wurde.