Für Android-Zertifikatsauthentifizierung läuft der Cert-Proxy-Dienst auf dem VMware Identity Manager-Knoten als unabhängiger Dienst, um die Verbindungen auf Port 5262 zu empfangen und die Verbindungen mit dem VMware identity Manager-Dienst auf Port 443 für die Authentifizierung über einen Proxyserver zu leiten.

Der HTTPS-443-Datenverkehr für VMware Identity Manager kann entweder auf Layer 7 SSL-Abladung auf dem Lastausgleichsdienst/Reverse-Proxy festgelegt oder für SSL-Passthrough als Layer 4 TCP an den Back-End-Server zugelassen werden. Wenn 443-Datenverkehr mit SSL-Passthrough konfiguriert ist, wird das öffentlich vertrauenswürdige Zertifikat vom VMware Identity Manager-Dienst auf Port 443 und vom Cert-Proxy-Dienst auf Port 5262 gemeinsam genutzt. Es sind keine zusätzlichen Konfigurationsschritte erforderlich.

Wenn der HTTPS-Datenverkehr mit SSL auf dem Lastausgleichsdienst/Reverse-Proxy abgeladen wird, verwendet der VMware Identity Manager-Dienst ein selbstsigniertes Zertifikat zur Vertrauensstellung, das während des Installationsvorgangs der Anwendung generiert wird. Da 5262 als SSL Layer 4 TCP mit SSL-Passthrough, das ein öffentlich vertrauenswürdiges SSL-Zertifikat erfordert, festgelegt werden muss, führt dies zu einem Zertifikatskonflikt zwischen den beiden auf dem Host ausgeführten Diensten. Um dieses Problem zu umgehen, benötigt der Cert-Proxy-Dienst einen sekundären Port 5263, der auf dem Server konfiguriert wird. Port 5263 verwendet dasselbe selbstsignierte Zertifikat, das auf dem VMware Identity Manager-Dienst ausgeführt wird. Die Konfiguration des zusätzlichen Ports 5263 ermöglicht, dass die Kommunikation während des gesamten Mobile SSO-Prozesses für Android gesichert und vertrauenswürdig ist, während sie die Entschlüsselung des HTTPS-Datenverkehrs auf dem Lastausgleichsdienst ermöglicht.

Entscheidung zwischen erneuter SSL-Verschlüsselung und SSL-Abladung für HTTP-443-Datenverkehr

Im Folgenden finden Sie eine Entscheidungsmatrix, die Sie für die Einrichtung des Cert-Proxy-Dienstes mit dem VMware Identity Manager-Dienst hinzuziehen können.

In dieser Matrix werden SAN-Zertifikate definiert als Zertifikat, das den VMware Identity Manager VIP-FQDN und jeden Knotemaschinen-FQDN enthält. Der FQDN hat das Format einer nicht-routbare Domäne/Sub-Domäne. Basierend auf Ihrem VMware-Design können Sie die Matrix verwenden, um festzustellen, ob Port 5263 konfiguriert ist.

Tabelle 1. Entscheidungsmatrix für CERT-Proxy-Konfiguration

Öffentlicher Namespace

DMZ-Namespace

Zertifikatstyp

Anforderung Lastausgleichsdienst

Cert-Proxy-Port 5263 erforderlich

Freigegebener Namespace (.com / .com)

example.com

example.com

Platzhalter, SAN

Erneute SSL-Verschlüsselung erforderlich

Nein

example.com

example.com

Einzelhost CN

Erneute SSL-Verschlüsselung erforderlich

Ja

example.com

example.com

Platzhalter, SAN

SSL-Passthrough erforderlich

Nein

Getrennter Namespace (.com / .dmz)

example.com

example.dmz

Platzhalter, Einzelhost CN

Erneute SSL-Verschlüsselung erforderlich

Ja

example.com

example.dmz

SAN

Erneute SSL-Verschlüsselung erforderlich

Nein

example.com

example.dmz

SAN

SAN-Passthrough erforderlich

Nein

Abbildung 1. VMware Identity Manager Proxy-Port-Konfiguration in der DMZ nur mit Port 5262 konfiguriert
Abbildung 2.