VMware Identity Manager サービスのインストール時に、デフォルトの SSL サーバ証明書が生成されます。この自己署名証明書は、テストに使用できます。ただし、ベスト プラクティスは本番環境でパブリック認証局 (CA) によって署名された SSL 証明書を使用することです。
注:
VMware Identity Manager の前にあるロード バランサで SSL が終端する場合、SSL 証明書がロード バランサに適用されます。
前提条件
- 証明書署名要求 (CSR) を生成し、CA から有効な署名付き SSL 証明書を取得します。証明書は、PEM ファイルまたは PFX ファイルのいずれかの形式です。
- サブジェクト DN の共通名部分には、ユーザーが VMware Identity Manager サービスにアクセスするために使用する完全修飾ドメイン名を使用します。VMware Identity Manager アプライアンスがロード バランサの背後にある場合、この名前はロード バランサのサーバ名です。
- ロード バランサで SSL を終端していない場合、サービスによって使用される SSL 証明書には VMware Identity Manager クラスタ内の各ノードの完全修飾ドメイン名を含むサブジェクトの別名 (SAN) が設定されている必要があります。SAN を含めると、クラスタ内のノードが互いに要求を送信できるようになります。また、VMware Identity Manager サービスにアクセスするためにユーザーが使用する FQDN ホスト名の SAN も、共通名に使用するだけでなく、証明書に含めるようにします。理由は、一部のブラウザで必要となるためです。
- 展開にセカンダリ データセンターが含まれる場合は、VMware Identity Manager の証明書に、プライマリ データセンターのロード バランサの FQDN と、セカンダリ データセンターのロード バランサの FQDN が含まれていることを確認します。含まれていない場合は、証明書をワイルドカード証明書にする必要があります。
手順
例: PEM 証明書の例
証明書チェーンの例 |
---|
-----BEGIN CERTIFICATE----- |
jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+ ... W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1 |
-----END CERTIFICATE----- |
-----BEGIN CERTIFICATE----- |
WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+ ... O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1 |
-----END CERTIFICATE----- |
-----BEGIN CERTIFICATE----- |
dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+ ... 5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1 |
-----END CERTIFICATE----- |
プライベート キーの例 |
---|
-----BEGIN RSA PRIVATE KEY----- |
jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+ ... 1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1 |
-----END RSA PRIVATE KEY----- |