Per l'autenticazione del certificato Android, il servizio proxy certificato viene eseguito nel nodo di VMware Identity Manager come servizio indipendente per la ricezione di connessioni sulla porta 5262 e per fungere da proxy per le connessioni al servizio VMware identity Manager sulla porta 443 per l'autenticazione.

Il traffico HTTPS 443 per VMware Identity Manager può essere impostato sull'offload di SSL di livello 7 nel bilanciamento del carico o nel proxy inverso oppure consentito come PassThrough SSL come TCP di livello 4 nel server di back-end. Quando il traffico 443 è configurato con PassThrough SSL, i certificati pubblicamente attendibili sono condivisi tra il servizio VMware Identity Manager sulla porta 443 e il servizio CertProxy sulla porta 5262. Non è necessaria alcuna configurazione aggiuntiva.

Se per il traffico HTTPS viene eseguito l'offload SSL nel bilanciamento del carico o nel proxy inverso, il servizio VMware Identity Manager utilizza un certificato autofirmato generato durante il processo di installazione dell'applicazione. Poiché la porta 5262 deve essere impostata su TCP SSL di livello 4 con PassThrough SSL che richiede un certificato SSL pubblicamente attendibile, si verifica una mancata corrispondenza di certificati tra i due servizi in esecuzione nell'host. Per evitare questo problema, il servizio CertProxy richiede una porta secondaria 5263 configurata nel server. La porta 5263 condivide lo stesso certificato autofirmato di quello in esecuzione nel servizio VMware Identity Manager. La configurazione della porta aggiuntiva 5263 consente di garantire la sicurezza e l'affidabilità della comunicazione durante tutto il processo SSO mobile per Android, consentendo al tempo stesso la decrittografia del traffico HTTPS nel bilanciamento del carico.

Scelta tra la riesecuzione della crittografia SSL e l'offloading SSL per il traffico HTTP 443

Di seguito è riportata una tabella utile per configurare il servizio proxy certificato con il servizio VMware Identity Manager.

In questa tabella, i certificati SAN sono definiti come un certificato contenente il nome di dominio completo VIP di VMware Identity Manager e il nome di dominio completo di ogni macchina del nodo. Il nome di dominio completo è nel formato di un dominio/sottodominio non instradabile. In base alla configurazione di VMware, utilizzare la tabella per stabilire se la porta 5263 sia configurata.

Tabella 1. Tabella per la configurazione del proxy certificato

Spazio dei nomi pubblico

Spazio dei nomi DMZ

Tipo di certificato

Requisiti del bilanciamento del carico

Porta del proxy certificato 5263 obbligatoria

Spazio dei nomi condiviso (.com / .com)

example.com

example.com

Carattere jolly, SAN

Riesecuzione della crittografia SSL obbligatoria

No

example.com

example.com

CN host singolo

Riesecuzione della crittografia SSL obbligatoria

example.com

example.com

Carattere jolly, SAN

PassThrough SSL obbligatorio

No

Spazio dei nomi indipendente (.com / .dmz)

example.com

example.dmz

Carattere jolly, CN host singolo

Riesecuzione della crittografia SSL obbligatoria

example.com

example.dmz

SAN

Riesecuzione della crittografia SSL obbligatoria

No

example.com

example.dmz

SAN

PassThrough SAN obbligatorio

No

Figura 1. Configurazione della porta del proxy VMware Identity Manager in DMZ con la sola porta 5262 configurata
Figura 2.