Per l'autenticazione del certificato Android, il servizio proxy certificato viene eseguito nel nodo di Workspace ONE Access come servizio indipendente per la ricezione di connessioni sulla porta 5262 e per fungere da proxy per le connessioni al servizio Workspace ONE Access sulla porta 443 per l'autenticazione.
Il traffico HTTPS 443 per Workspace ONE Access può essere impostato sull'offload di SSL di livello 7 nel bilanciamento del carico o nel proxy inverso oppure consentito come PassThrough SSL come TCP di livello 4 nel server di back-end. Quando il traffico 443 è configurato con PassThrough SSL, i certificati pubblicamente attendibili sono condivisi tra il servizio Workspace ONE Access sulla porta 443 e il servizio CertProxy sulla porta 5262. Non è necessaria alcuna configurazione aggiuntiva.
Se per il traffico HTTPS viene eseguito l'offload SSL nel bilanciamento del carico o nel proxy inverso, il servizio Workspace ONE Access utilizza un certificato autofirmato generato durante il processo di installazione dell'applicazione. Poiché la porta 5262 deve essere impostata su TCP SSL di livello 4 con PassThrough SSL che richiede un certificato SSL pubblicamente attendibile, si verifica una mancata corrispondenza di certificati tra i due servizi in esecuzione nell'host. Per evitare questo problema, il servizio CertProxy richiede una porta secondaria 5263 configurata nel server. La porta 5263 condivide lo stesso certificato autofirmato di quello in esecuzione nel servizio Workspace ONE Access. La configurazione della porta aggiuntiva 5263 consente di garantire la sicurezza e l'affidabilità della comunicazione durante tutto il processo SSO mobile per Android, consentendo al tempo stesso la decrittografia del traffico HTTPS nel bilanciamento del carico.
Scelta tra la riesecuzione della crittografia SSL e l'offloading SSL per il traffico HTTP 443
Di seguito è riportata una tabella utile per configurare il servizio proxy certificato con il servizio Workspace ONE Access.
In questa tabella, i certificati SAN sono definiti come un certificato contenente il nome di dominio completo VIP di Workspace ONE Access e il nome di dominio completo di ogni macchina del nodo. Il nome di dominio completo è nel formato di un dominio/sottodominio non instradabile. In base alla configurazione di VMware, utilizzare la tabella per stabilire se la porta 5263 sia configurata.
| Spazio dei nomi pubblico | Spazio dei nomi DMZ | Tipo di certificato | Requisiti del bilanciamento del carico | Porta del proxy certificato 5263 obbligatoria |
|---|---|---|---|---|
| Spazio dei nomi condiviso (.com / .com) | ||||
| example.com | example.com | Carattere jolly, SAN | Riesecuzione della crittografia SSL obbligatoria | No |
| example.com | example.com | CN host singolo | Riesecuzione della crittografia SSL obbligatoria | Sì |
| example.com | example.com | Carattere jolly, SAN | PassThrough SSL obbligatorio | No |
| Spazio dei nomi indipendente (.com / .dmz) | ||||
| example.com | example.dmz | Carattere jolly, CN host singolo | Riesecuzione della crittografia SSL obbligatoria | Sì |
| example.com | example.dmz | SAN | Riesecuzione della crittografia SSL obbligatoria | No |
| example.com | example.dmz | SAN | PassThrough SSL obbligatorio | No |
