Se requiere un certificado SSL de confianza para los servidores de Workspace ONE Access Connector que tienen instalado el servicio de autenticación Kerberos. Para el servicio de autenticación Kerberos, la conexión debe ser entrante y los usuarios finales deben establecer conexiones SSL con el conector.
Los requisitos para el certificado SSL de confianza del servicio de autenticación Kerberos son:
- El formato del certificado debe ser PEM o PFX.
- Si el certificado es un archivo PEM, también es necesario cargar la clave privada.
- La longitud de la clave del certificado debe ser de 1.024 a 4.096 bits.
- Asegúrese de que el archivo de certificado contenga la cadena de certificados completa en el orden correcto.
- El certificado debe estar firmado por una entidad de certificación pública o interna.
- Si se implementan varias instancias del servicio de autenticación Kerberos a fin de configurar la alta disponibilidad para la autenticación Kerberos, se requiere un equilibrador de carga delante de las instancias. En este caso, el equilibrador de carga y todas las instancias del conector deben tener certificados SSL de confianza firmados por una entidad de certificación pública o interna. Para el certificado del equilibrador de carga, utilice el nombre de host de IdP de Workspace, que está establecido en la página de configuración de IdP de Workspace, como el nombre común del DN del sujeto. Para cada certificado de la instancia de conector, utilice el nombre de host del conector como el nombre común del DN del sujeto. Como alternativa, puede crear un único certificado utilizando el nombre de host de Idp de Workspace como el nombre común del DN del sujeto y todos los nombres de host del conector, así como el nombre de host de Idp de Workspace, como nombres alternativos del sujeto (SAN).
Nota: Si no cargó un certificado SSL de confianza durante la instalación, se generará automáticamente un certificado autofirmado. Si desea utilizar este certificado autofirmado generado de
Workspace ONE Access, deberá agregar el certificado raíz generado por
Workspace ONE Access a los almacenes de confianza de los clientes. Puede obtener el certificado raíz,
root_ca.per, de
INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf.
Si bien se puede utilizar el certificado autofirmado con fines de prueba, para la fase producción se recomienda usar certificados SSL de confianza firmados por una entidad de certificación (CA) pública o interna.
Requisitos previos
Obtenga un certificado SSL de confianza firmado por una entidad de certificación (Certificate Authority, CA) pública o interna.