Lorsque le service Workspace ONE Access est installé, un certificat de serveur SSL par défaut est généré. Vous pouvez utiliser ce certificat auto-signé à des fins de test. Toutefois, il est recommandé d'utiliser des certificats SSL signés par une autorité de certification publique pour votre environnement de production.

Note : Si un équilibrage de charge devant Workspace ONE Access met fin à SSL, le certificat SSL est appliqué à l'équilibrage de charge.

Conditions préalables

  • Générez une demande de signature de certificat (CSR) pour obtenir un certificat SSL valide et signé d'une autorité de certification. Le certificat peut être un fichier PEM ou PFX. Les certificats PEM sont codés avec la clé privée à l'aide de la norme PKCS n° 1.

    Si un fichier PEM est importé, assurez-vous qu'il inclut l'intégralité de la chaîne de certificats dans le bon ordre. Veillez à inclure ces balises ----BEGIN CERTIFICATE----- et -----END CERTIFICATE---- pour chaque certificat. Le certificat principal vient en premier, suivi du certificat intermédiaire, puis du certificat RACINE.

  • Pour la partie Nom commun du nom unique de sujet, utilisez le nom de domaine complet dont les utilisateurs se servent pour accéder au service Workspace ONE Access. Si le dispositif Workspace ONE Access se trouve derrière un équilibrage de charge, il s'agit du nom de serveur d'équilibrage de charge.
  • Si SSL n'est pas terminé sur l'équilibrage de charge, le certificat SSL utilisé par le service doit inclure des noms alternatifs de sujet (SAN) pour tous les noms de domaine complets du cluster Workspace ONE Access. Inclure le SAN permet aux nœuds du cluster d'effectuer des demandes entre eux. Incluez également un SAN pour le nom d'hôte FQDN dont les utilisateurs se serviront pour accéder au service Workspace ONE Access, en plus de l'utiliser pour le nom commun, car certains navigateurs en ont besoin.
  • Si votre déploiement comprend un centre de données secondaire, vérifiez que le certificat de Workspace ONE Access inclut le nom de domaine complet de l'équilibrage de charge du centre de données principal, ainsi que le nom de domaine complet de l'équilibrage de charge du centre de données secondaire. Sinon, le certificat doit être un certificat générique.

Procédure

  1. Connectez-vous à la console Workspace ONE Access.
  2. Sélectionnez Surveiller > Résilience .
  3. Cliquez sur l'option Configuration VA du nœud de service que vous souhaitez configurer et connectez-vous avec le mot de passe de l'utilisateur Admin.
    Accéder à la sélection dans l'UI de Configuration VA
  4. Sélectionnez Installer des certificats SSL > Certificat de serveur.
  5. Dans l'onglet Certificat SSL, sélectionnez Certificat personnalisé.
  6. Pour importer le fichier de certificat, cliquez sur Choisir le fichier et accédez au fichier de certificat à importer.
    Si un fichier PEM est importé, assurez-vous qu'il inclut l'intégralité de la chaîne de certificats dans le bon ordre. Veillez à inclure ces balises ----BEGIN CERTIFICATE----- et -----END CERTIFICATE---- pour chaque certificat. Le certificat principal vient en premier, suivi du certificat intermédiaire.
  7. Si un fichier PEM est importé, importez la clé privée. Cliquez sur Choisir le fichier et accédez au fichier de clé privée. Tout ce qui se trouve entre les lignes ----BEGIN RSA PRIVATE KEY et ---END RSA PRIVATE KEY doit être inclus.
    Si un fichier PFX est importé, entrez le mot de passe de PFX.
  8. Cliquez sur Enregistrer.

Exemple : Exemple de certificat PEM

Exemple de chaîne de certificat
-----BEGIN CERTIFICATE-----

(Votre certificat SSL principal : nom_votre_domaine.crt)

-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----

(Votre certificat intermédiaire : <CA>.crt)

-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----

Votre certificat racine : TrustedRoot.CRT)

-----END CERTIFICATE-----
Exemple de clé privée
-----BEGIN RSA PRIVATE KEY-----

(Votre clé privée : nom_votre_domaine.key)

-----END RSA PRIVATE KEY-----