Il server di Workspace ONE Access Connector in cui è installato il servizio di autenticazione Kerberos richiede la presenza di un certificato SSL attendibile. Per il servizio di autenticazione Kerberos, la connessione è in entrata e gli utenti finali stabiliscono connessioni SSL con il connettore.

I requisiti per il certificato SSL attendibile per il servizio di autenticazione Kerberos includono:

  • Il certificato deve essere in formato PEM o PFX.
  • Se il certificato è un file PEM, è necessario caricare anche la chiave privata.
  • La lunghezza della chiave del certificato deve essere compresa tra 1024 e 3072 bit.
  • Assicurarsi che il file del certificato includa l'intera catena di certificati nell'ordine corretto.
  • Il certificato deve essere firmato da un'autorità di certificazione pubblica o interna.
  • Se si distribuiscono più istanze del servizio di autenticazione Kerberos per configurare l'alta disponibilità per l'autenticazione Kerberos, davanti alle istanze è necessaria la presenza di un bilanciamento del carico. In questo caso, il bilanciamento del carico, nonché tutte le istanze del connettore, devono avere certificati SSL attendibili firmati da un'autorità di certificazione pubblica o interna. Per il certificato del bilanciamento del carico, utilizzare il nome host del fornitore di identità di Workspace, definito nella pagina di configurazione del fornitore di identità Workspace, come Nome comune del DN oggetto. Per ciascun certificato di istanza del connettore, utilizzare il nome host del connettore come Nome comune del DN oggetto. In alternativa, è possibile creare un singolo certificato utilizzando il nome host del fornitore di identità Workspace come Nome comune del DN oggetto e tutti i nomi host dei connettori, nonché il nome host del fornitore di identità Workspace come nomi alternativi di oggetto (SAN).
Nota: Se durante l'installazione non è stato caricato un certificato SSL attendibile, è stato generato automaticamente un certificato autofirmato. Per utilizzare il certificato autofirmato generato da Workspace ONE Access, sarà necessario aggiungere il certificato root generato da Workspace ONE Access ai truststore dei client. Il certificato root root_ca.per si trova in INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf.

È possibile utilizzare il certificato autofirmato a scopo di testing, ma per l'utilizzo nella produzione è consigliabile usare certificati SSL attendibili firmati da un'autorità di certificazione pubblica o interna.

Prerequisiti

Ottenere un certificato SSL attendibile firmato da un'autorità di certificazione (CA) pubblica o interna.

Procedura

  1. Accedere al server di Workspace ONE Access Connector in cui è installato il servizio di autenticazione Kerberos.
  2. Passare alla cartella contenente il programma di installazione del connettore e fare doppio clic sul file Workspace ONE Access Connector Installer.exe.
  3. Nella pagina di benvenuto fare clic su Avanti.
  4. Nella pagina di manutenzione del programma, selezionare l'opzione Aggiungi/Rimuovi servizi e fare clic su Avanti.
  5. Fare clic su Avanti finché non viene visualizzata la pagina di installazione del certificato SSL per il servizio di autenticazione Kerberos.
  6. Selezionare la casella di controllo per la selezione di un proprio certificato SSL.
  7. Fare clic su Sfoglia e selezionare il file del certificato.
    Il file del certificato deve essere in formato PEM o PFX. Se si carica un file PEM, caricare anche la chiave privata. Se si carica un file PFX, specificare anche la password del certificato.