Per l'autenticazione del certificato Android, il servizio proxy certificato viene eseguito nel nodo di Workspace ONE Access come servizio indipendente per la ricezione di connessioni sulla porta 5262 e per fungere da proxy per le connessioni al servizio Workspace ONE Access sulla porta 443 per l'autenticazione.

Il traffico HTTPS 443 per Workspace ONE Access può essere impostato sull'offload di SSL di livello 7 nel bilanciamento del carico o nel proxy inverso oppure consentito come PassThrough SSL come TCP di livello 4 nel server di back-end. Quando il traffico 443 è configurato con PassThrough SSL, i certificati pubblicamente attendibili sono condivisi tra il servizio Workspace ONE Access sulla porta 443 e il servizio CertProxy sulla porta 5262. Non è necessaria alcuna configurazione aggiuntiva.

Se per il traffico HTTPS viene eseguito l'offload SSL nel bilanciamento del carico o nel proxy inverso, il servizio Workspace ONE Access utilizza un certificato autofirmato generato durante il processo di installazione dell'applicazione. Poiché la porta 5262 deve essere impostata su TCP SSL di livello 4 con PassThrough SSL che richiede un certificato SSL pubblicamente attendibile, si verifica una mancata corrispondenza di certificati tra i due servizi in esecuzione nell'host. Per evitare questo problema, il servizio CertProxy richiede una porta secondaria 5263 configurata nel server. La porta 5263 condivide lo stesso certificato autofirmato di quello in esecuzione nel servizio Workspace ONE Access. La configurazione della porta aggiuntiva 5263 consente di garantire la sicurezza e l'affidabilità della comunicazione durante tutto il processo SSO mobile per Android, consentendo al tempo stesso la decrittografia del traffico HTTPS nel bilanciamento del carico.

Scelta tra la riesecuzione della crittografia SSL e l'offloading SSL per il traffico HTTP 443

Di seguito è riportata una tabella utile per configurare il servizio proxy certificato con il servizio Workspace ONE Access.

In questa tabella, i certificati SAN sono definiti come un certificato contenente il nome di dominio completo VIP di Workspace ONE Access e il nome di dominio completo di ogni macchina del nodo. Il nome di dominio completo è nel formato di un dominio/sottodominio non instradabile. In base alla configurazione di VMware, utilizzare la tabella per stabilire se la porta 5263 sia configurata.

Tabella 1. Tabella per la configurazione del proxy certificato
Spazio dei nomi pubblico Spazio dei nomi DMZ Tipo di certificato Requisiti del bilanciamento del carico Porta del proxy certificato 5263 obbligatoria
Spazio dei nomi condiviso (.com / .com)
example.com example.com Carattere jolly, SAN Riesecuzione della crittografia SSL obbligatoria No
example.com example.com CN host singolo Riesecuzione della crittografia SSL obbligatoria
example.com example.com Carattere jolly, SAN PassThrough SSL obbligatorio No
Spazio dei nomi indipendente (.com / .dmz)
example.com example.dmz Carattere jolly, CN host singolo Riesecuzione della crittografia SSL obbligatoria
example.com example.dmz SAN Riesecuzione della crittografia SSL obbligatoria No
example.com example.dmz SAN PassThrough SSL obbligatorio No
Figura 1. Configurazione della porta del proxy Workspace ONE Access in DMZ con la sola porta 5262 configurata
Diagramma della porta del proxy di Workspace ONE Access configurata per la porta 5262
Figura 2. Configurazione della porta del proxy di Workspace ONE Access in DMZ con le porte 5262 e 5263 configurate
Diagramma della porta del proxy di Workspace ONE Access configurata per le porte 5262 e 5263