Quando si installa il servizio Workspace ONE Access, viene generato un certificato del server SSL predefinito. È possibile utilizzare questo certificato autofirmato a scopo di test. È tuttavia consigliabile utilizzare certificati SSL firmati da un'autorità di certificazione (CA) pubblica per l'ambiente di produzione.

Nota: Se un bilanciamento del carico davanti a Workspace ONE Access termina SSL, viene applicato il certificato SSL al bilanciamento del carico.

Prerequisiti

  • Generare una richiesta di firma del certificato e ottenere un certificato SSL valido e firmato da un'autorità di certificazione. Il certificato può essere un file PEM o PFX. I certificati PEM vengono codificati con la chiave privata che utilizza lo standard PKCS #1.

    Se viene importato un file PEM, assicurarsi che il file includa l'intera catena di certificati nell'ordine corretto. Assicurarsi di includere i tag -----BEGIN CERTIFICATE----- e -----END CERTIFICATE---- per ciascun certificato. L'ordine che viene applicato è: il certificato primario seguito dal certificato intermedio e quindi dal certificato ROOT.

  • Per la parte Nome comune del DN oggetto, utilizzare il nome di dominio completo che gli utenti usano per accedere al servizio Workspace ONE Access. Se l'appliance Workspace ONE Access si trova dietro un bilanciamento del carico, questo è il nome del server del bilanciamento del carico.
  • Se SSL non viene terminato nel programma di bilanciamento del carico, il certificato SSL utilizzato dal servizio deve includere i nomi SAN (Subject Alternative Name) per tutti i nomi di dominio completi del cluster di Workspace ONE Access. L'inclusione di SAN consente ai nodi del cluster di effettuare richieste reciproche. Includere inoltre un nome SAN per il nome host del nome di dominio completo che gli utenti usano per accedere al servizio Workspace ONE Access, oltre a utilizzarlo per il nome comune, poiché alcuni browser lo richiedono.
  • Se la distribuzione include un data center secondario, assicurarsi che il certificato di Workspace ONE Access includa il nome di dominio completo del programma di bilanciamento del carico del data center primario nonché il nome di dominio completo del programma di bilanciamento del carico del data center secondario. In caso contrario, il certificato deve essere un certificato con caratteri jolly.

Procedura

  1. Accedere alla console di Workspace ONE Access.
  2. Selezionare Monitoraggio > Resilienza.
  3. Fare clic su Configurazione VA del nodo del servizio che si desidera configurare e accedere con la password dell'utente amministratore.
    Accesso alla selezione di Configurazione VA nell'interfaccia utente
  4. Selezionare Installa certificati SSL > Certificato server.
  5. Nel campo Certificato SSL, selezionare Certificato personalizzato.
  6. Per importare il file del certificato, fare clic su Scegli file e passare al file del certificato da importare.
    Se viene importato un file PEM, assicurarsi che il file includa l'intera catena di certificati nell'ordine corretto. Assicurarsi di includere i tag -----BEGIN CERTIFICATE----- e -----END CERTIFICATE---- per ciascun certificato. L'ordine che viene applicato è: il certificato primario seguito dal certificato intermedio.
  7. Se viene importato un file PEM, importare la chiave privata. Fare clic su Scegli file e passare al file della chiave privata. È necessario includere tutto il contenuto presente tra le righe ----BEGIN RSA PRIVATE KEY---- ed ---END RSA PRIVATE KEY----.
    Se viene importato un file PFX, immettere la password PFX.
  8. Fare clic su Salva.

Esempio: Esempio di certificato PEM

Esempio di catena di certificati
-----BEGIN CERTIFICATE-----

(Certificato SSL primario: nome_dominio.crt)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----

(Certificateo intermedio: <CA>.crt)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----

(Certificato Root: TrustedRoot.crt)
-----END CERTIFICATE-----
Esempio di chiave privata
-----BEGIN RSA PRIVATE KEY-----

(Chiave privata: nome_del_dominio.key)

-----END RSA PRIVATE KEY-----