Se requiere un certificado SSL de confianza para los servidores de Workspace ONE Access Connector que tienen instalado el servicio de autenticación Kerberos. Para el servicio de autenticación Kerberos, la conexión debe ser entrante y los usuarios finales deben establecer conexiones SSL con el conector.

Los requisitos para el certificado SSL de confianza del servicio de autenticación Kerberos son:

  • El formato del certificado debe ser PEM o PFX.
  • Si el certificado es un archivo PEM, también es necesario cargar la clave privada.
  • La longitud de la clave del certificado debe ser de 1.024 a 4.096 bits.
  • Asegúrese de que el archivo de certificado contenga la cadena de certificados completa en el orden correcto.
  • El certificado debe estar firmado por una entidad de certificación pública o interna.
  • Si se implementan varias instancias del servicio de autenticación Kerberos a fin de configurar la alta disponibilidad para la autenticación Kerberos, se requiere un equilibrador de carga delante de las instancias. En este caso, el equilibrador de carga y todas las instancias del conector deben tener certificados SSL de confianza firmados por una entidad de certificación pública o interna. Para el certificado del equilibrador de carga, utilice el nombre de host de IdP de Workspace, que está establecido en la página de configuración de IdP de Workspace, como el nombre común del DN del sujeto. Para cada certificado de la instancia de conector, utilice el nombre de host del conector como el nombre común del DN del sujeto. Como alternativa, puede crear un único certificado utilizando el nombre de host de Idp de Workspace como el nombre común del DN del sujeto y todos los nombres de host del conector, así como el nombre de host de Idp de Workspace, como nombres alternativos del sujeto (SAN).
Nota: Si no cargó un certificado SSL de confianza durante la instalación, se generará automáticamente un certificado autofirmado. Si desea utilizar este certificado autofirmado generado por Workspace ONE Access, deberá agregar el certificado raíz generado por Workspace ONE Access a los almacenes de confianza de los clientes. Puede obtener el certificado raíz, root_ca.per, de INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf.

Si bien se puede utilizar el certificado autofirmado con fines de prueba, para la fase producción se recomienda usar certificados SSL de confianza firmados por una entidad de certificación (CA) pública o interna.

Requisitos previos

Obtenga un certificado SSL de confianza firmado por una entidad de certificación (Certificate Authority, CA) pública o interna.

Procedimiento

  1. Inicie sesión en el servidor de Workspace ONE Access Connector que tiene instalado el servicio de autenticación Kerberos.
  2. Vaya a la carpeta que contiene el instalador del conector y haga doble clic en el archivo Installer.exe de Workspace ONE Access Connector.
  3. En la página de bienvenida, haga clic en Siguiente.
  4. En la página Mantenimiento del programa, seleccione la opción Agregar o quitar servicios y, a continuación, haga clic en Siguiente.
  5. Haga clic en Siguiente hasta que se muestre la página Instalar el certificado SSL para el servicio de autenticación Kerberos.
  6. Active la casilla ¿Desea utilizar su propio certificado SSL?.
  7. Haga clic en Examinar y seleccione el archivo de certificado.
    El formato del archivo de certificado debe ser PEM o PFX. Si carga un archivo PEM, también debe cargar la clave privada. Si carga un archivo PFX, también debe especificar la contraseña del certificado.