Cuando se instala el servicio de Workspace ONE Access, se genera un certificado de servidor SSL predeterminado. El certificado autofirmado se puede usar para hacer pruebas. Sin embargo, la práctica recomendada es utilizar certificados SSL firmados por una entidad de certificación (CA) pública para su entorno de producción.

Nota: Si un equilibrador de carga delante de Workspace ONE Access termina el SSL, se aplica el certificado SSL al equilibrador de carga.

Requisitos previos

  • Genere una solicitud de firma del certificado (CSR) y obtenga un certificado válido y firmado SSL de CA. El certificado puede ser un archivo PEM o PFX. Los certificados PEM se codifican con la clave privada mediante el estándar PKCS #1.

    Si se importa un archivo PEM, asegúrese de que el archivo incluya la cadena de certificados completa en el orden correcto. Asegúrese de incluir las etiquetas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE---- para cada certificado. El orden debe ser primero el certificado principal, luego el certificado intermedio y, a continuación, el certificado raíz.

  • Para la parte del nombre común del DN del sujeto, utilice el nombre de dominio completo que los usuarios utilizan para acceder al servicio de Workspace ONE Access. Si el dispositivo de Workspace ONE Access está detrás de un equilibrador de carga, este es el nombre del servidor del equilibrador de carga.
  • Si SSL no termina en el equilibrador de carga, el certificado SSL usado por el servicio deberá incluir nombres alternativos del sujeto (SAN) para cada nombre de dominio completo del clúster de Workspace ONE Access. La inclusión de la SAN permite que los nodos del clúster se requieran solicitudes entre sí. También incluye un SAN para el nombre de host de FQDN que los usuarios utilizan para acceder al servicio de Workspace ONE Access, además de usarlo para el nombre común, debido a que algunos navegadores lo exigen.
  • Si su implementación incluye un centro de datos secundario, asegúrese de que el certificado de Workspace ONE Access incluya el FQDN del equilibrador de carga del centro de datos principal, así como el FQDN del equilibrador de carga del centro de datos secundario. De lo contrario, el certificado debe ser un certificado comodín.

Procedimiento

  1. Inicie sesión en la consola de Workspace ONE Access.
  2. Seleccione Supervisar > Resiliencia.
  3. Haga clic en Configuración del dispositivo virtual en el nodo de servicio que desea configurar y, a continuación, inicie sesión con la contraseña de usuario administrador.
  4. Seleccione Instalar certificados SSL > Certificado de servidor.
  5. En la pestaña Certificado SSL, seleccione Certificado personalizado.
  6. Para importar el archivo de certificado, haga clic en Seleccionar archivo y desplácese hasta el archivo de certificado que desea importar.
    Si se importa un archivo PEM, asegúrese de que el archivo incluya la cadena de certificados completa en el orden correcto. Asegúrese de incluir las etiquetas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE---- para cada certificado. El orden debe ser primero el certificado principal y, a continuación, el certificado intermedio.
  7. Si se importa un archivo PEM, importe la clave privada. Haga clic en Seleccionar archivo y desplácese hasta el archivo de clave privada. Debe incluir todo lo que haya entre ----BEGIN RSA PRIVATE KEY y ----END RSA PRIVATE KEY.
    Si se importa un archivo PFX, introduzca la contraseña de PFX.
  8. Haga clic en Guardar.

Ejemplo: Ejemplo de certificado PEM

Ejemplo de cadena de certificados
-----BEGIN CERTIFICATE-----

(su certificado SSL principal: nombre_de_dominio.crt)

-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----

(su certificado intermedio: <CA>.crt)

-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----

(su certificado raíz: TrustedRoot.crt)

-----END CERTIFICATE-----
Ejemplo de clave privada
-----BEGIN RSA PRIVATE KEY-----

(su clave privada: nombre_de_dominio.key)

-----END RSA PRIVATE KEY-----