Workspace ONE Access サービスのインストール時に、デフォルトの SSL サーバ証明書が生成されます。この自己署名証明書は、テストに使用できます。ただし、ベスト プラクティスは本番環境でパブリック認証局 (CA) によって署名された SSL 証明書を使用することです。

注: Workspace ONE Access の前にあるロード バランサで SSL が終端する場合、SSL 証明書がロード バランサに適用されます。

前提条件

  • 証明書署名要求 (CSR) を生成し、CA から有効な署名付き SSL 証明書を取得します。証明書は、PEM ファイルまたは PFX ファイルのいずれかの形式です。PEM 証明書は PKCS #1 標準を使用してプライベート キーでエンコードされます。

    PEM ファイルがインポートされている場合は、ファイルに正しい順序で証明書チェーン全体が含まれていることを確認します。証明書ごとに「-----BEGIN CERTIFICATE-----」および「-----END CERTIFICATE----」のタグが含まれていることを確認します。順序は、最初にプライマリ証明書、次に中間証明書、最後にルート証明書です。

  • サブジェクト DN の共通名部分には、ユーザーが Workspace ONE Access サービスにアクセスするために使用する完全修飾ドメイン名を使用します。Workspace ONE Access アプライアンスがロード バランサの背後にある場合、この名前はロード バランサのサーバ名です。
  • ロード バランサで SSL を終端していない場合、サービスによって使用される SSL 証明書には Workspace ONE Access クラスタ内の各ノードの完全修飾ドメイン名を含むサブジェクトの別名 (SAN) が設定されている必要があります。SAN を含めると、クラスタ内のノードが互いに要求を送信できるようになります。また、Workspace ONE Access サービスにアクセスするためにユーザーが使用する FQDN ホスト名の SAN も、共通名に使用するだけでなく、証明書に含めるようにします。理由は、一部のブラウザで必要となるためです。

手順

  1. Workspace ONE Access コンソールにログインします。
  2. [ダッシュボード] > [システム診断ダッシュボード] の順に選択します。
  3. 構成するサービス ノードの [VA 構成] をクリックし、管理者ユーザー パスワードを使用してログインします。
  4. [SSL 証明書のインストール] > [サーバ証明書] を選択します。
  5. [SSL 証明書] タブで、[カスタム証明書] を選択します。
  6. 証明書ファイルをインポートするには、[ファイルを選択] をクリックし、インポートする証明書ファイルに移動します。
    PEM ファイルがインポートされている場合は、ファイルに正しい順序で証明書チェーン全体が含まれていることを確認します。証明書ごとに「-----BEGIN CERTIFICATE-----」および「-----END CERTIFICATE----」のタグが含まれていることを確認します。順序は、最初にプライマリ証明書、次に中間証明書です。
  7. PEM ファイルがインポートされている場合は、プライベート キーをインポートします。[ファイルを選択] をクリックし、プライベート キー ファイルに移動します。----BEGIN RSA PRIVATE KEY と ---END RSA PRIVATE KEY の行の間にあるすべての行を含める必要があります。
    PFX ファイルがインポートされている場合は、PFX パスワードを入力します。
  8. [保存] をクリックします。

例: PEM 証明書の例

証明書チェーンの例
-----BEGIN CERTIFICATE-----

(プライマリ SSL 証明書:domain_name.crt)

-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----

(中間証明書:<CA>.crt)

-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----

(ルート証明書:TrustedRoot.crt)

-----END CERTIFICATE-----
プライベート キーの例
-----BEGIN RSA PRIVATE KEY-----

(プライベート キー:your_domain_name.key)

-----END RSA PRIVATE KEY-----