Il server di Workspace ONE Access Connector in cui è installato il servizio di autenticazione Kerberos richiede la presenza di un certificato SSL attendibile. Per il servizio di autenticazione Kerberos, la connessione è in entrata e gli utenti finali stabiliscono connessioni SSL con il connettore.
I requisiti per il certificato SSL attendibile per il servizio di autenticazione Kerberos includono:
- Il certificato deve essere in formato PEM o PFX.
- Se il certificato è un file PEM, è necessario caricare anche la chiave privata.
- La lunghezza della chiave del certificato deve essere compresa tra 1024 e 3072 bit.
- Assicurarsi che il file del certificato includa l'intera catena di certificati nell'ordine corretto.
- Il certificato deve essere firmato da un'autorità di certificazione pubblica o interna.
- Se si distribuiscono più istanze del servizio di autenticazione Kerberos per configurare l'alta disponibilità per l'autenticazione Kerberos, davanti alle istanze è necessaria la presenza di un bilanciamento del carico. In questo caso, il bilanciamento del carico, nonché tutte le istanze del connettore, devono avere certificati SSL attendibili firmati da un'autorità di certificazione pubblica o interna. Per il certificato del bilanciamento del carico, utilizzare il nome host del fornitore di identità di Workspace, definito nella pagina di configurazione del fornitore di identità Workspace, come Nome comune del DN oggetto. Per ciascun certificato di istanza del connettore, utilizzare il nome host del connettore come Nome comune del DN oggetto. In alternativa, è possibile creare un singolo certificato utilizzando il nome host del fornitore di identità Workspace come Nome comune del DN oggetto e tutti i nomi host dei connettori, nonché il nome host del fornitore di identità Workspace come nomi alternativi di oggetto (SAN).
Nota: Se durante l'installazione non è stato caricato un certificato SSL attendibile, è stato generato automaticamente un certificato autofirmato. Per utilizzare il certificato autofirmato generato da Workspace ONE Access, sarà necessario aggiungere il certificato root generato da Workspace ONE Access ai truststore dei client. Il certificato root
root_ca.per si trova in
INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf.
È possibile utilizzare il certificato autofirmato a scopo di testing, ma per l'utilizzo nella produzione è consigliabile usare certificati SSL attendibili firmati da un'autorità di certificazione pubblica o interna.
Prerequisiti
Ottenere un certificato SSL attendibile firmato da un'autorità di certificazione (CA) pubblica o interna.