Un certificat SSL approuvé est requis pour les serveurs Workspace ONE Access Connector sur lesquels le service d'authentification Kerberos est installé. Pour le service d'authentification Kerberos, la connexion est entrante et les utilisateurs finaux établissent des connexions SSL au connecteur.

Les exigences pour le certificat SSL approuvé pour le service d'authentification Kerberos sont les suivantes :

  • Le certificat doit être au format PEM ou PFX.
  • Si le certificat est un fichier PEM, vous devez également charger la clé privée.
  • La longueur de la clé du certificat doit être comprise entre 1 024 et 4 096 bits.
  • Assurez-vous que le fichier de certificat contient l'intégralité de la chaîne de certificat dans le bon ordre.
  • Le certificat doit être signé par une autorité de certification publique ou interne.
  • Si vous déployez plusieurs instances du service d'authentification Kerberos en vue de configurer la haute disponibilité pour l'authentification Kerberos, un équilibrage de charge est requis devant les instances. Dans ce cas, l'équilibrage de charge et toutes les instances du connecteur doivent disposer de certificats SSL approuvés signés par une autorité de certification publique ou interne. Pour le certificat d'équilibrage de charge, utilisez le nom d'hôte de fournisseur d'identité Workspace, qui est défini sur la page de configuration du fournisseur d'identité Workspace, comme nom commun du nom unique de sujet. Pour chaque certificat d'instance de connecteur, utilisez le nom d'hôte de connecteur comme nom commun du nom unique de sujet. Sinon, vous pouvez créer un certificat unique, en utilisant le nom d'hôte de fournisseur d'identité Workspace comme nom commun du nom unique de sujet, et tous les noms d'hôte de connecteur, ainsi que le nom d'hôte de fournisseur d'identité Workspace comme noms alternatifs de l'objet (SAN).
Note : Si vous n'avez pas chargé un certificat SSL approuvé lors de l'installation, un certificat auto-signé a été généré automatiquement. Pour utiliser ce certificat auto-signé généré par Workspace ONE Access, vous devrez ajouter le certificat racine généré par Workspace ONE Access aux magasins d'approbations des clients. Vous pouvez obtenir le certificat racine, root_ca.per, depuis INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf.

Bien que vous puissiez utiliser le certificat auto-signé à des fins de test, il est recommandé d'utiliser des certificats SSL approuvés signés par une autorité de certification publique ou interne pour l'utilisation en production.

Conditions préalables

Obtenez un certificat SSL approuvé signé par une autorité de certification publique ou interne.

Procédure

  1. Connectez-vous au serveur Workspace ONE Access Connector sur lequel le service d'authentification Kerberos est installé.
  2. Accédez au dossier contenant le programme d'installation du connecteur et double-cliquez sur le fichier Workspace ONE Access Connector Installer.exe.
  3. Sur la page de bienvenue, cliquez sur Suivant.
  4. Sur la page Maintenance du programme, sélectionnez l'option Ajout/Suppression de services, puis cliquez sur Suivant.
  5. Cliquez sur Suivant jusqu'à ce que la page Installer le certificat SSL pour le service d'authentification Kerberos s'affiche.
  6. Cochez la case Voulez-vous utiliser votre propre certificat SSL ?.
  7. Cliquez sur Parcourir et sélectionnez le fichier de certificat.
    Le fichier de certificat doit être au format PEM ou PFX. Si vous chargez un fichier PEM, chargez également la clé privée. Si vous chargez un fichier PFX, spécifiez également le mot de passe du certificat.