Kerberos 認証サービスがインストールされている Workspace ONE Access Connector サーバには、信頼される SSL 証明書が必要です。Kerberos 認証サービスの場合、接続はインバウンドで、エンド ユーザーはコネクタへの SSL 接続を確立します。
Kerberos 認証サービスの信頼される SSL 証明書の要件は次のとおりです。
- 証明書は PEM または PFX 形式である必要があります。
- 証明書が PEM ファイルの場合は、プライベート キーもアップロードする必要があります。
- 証明書キーの長さは、1024 ~ 4096 ビットの範囲にする必要があります。
- 証明書ファイルに正しい順序で証明書チェーン全体が含まれていることを確認します。
- 証明書は、パブリックまたは内部 CA によって署名されている必要があります。
- Kerberos 認証サービスの複数のインスタンスを展開して Kerberos 認証の高可用性を設定する場合は、インスタンスの前にロード バランサが必要です。この場合、ロード バランサとすべてのコネクタ インスタンスは、パブリックまたは内部 CA によって署名された信頼される SSL 証明書を持っている必要があります。ロード バランサ証明書の場合は、Workspace IdP の構成ページで設定されている Workspace IdP ホスト名をサブジェクト DN の共通名として使用します。それぞれのコネクタ インスタンス証明書には、コネクタのホスト名をサブジェクト DN の共通名として使用します。または、Workspace Idp ホスト名をサブジェクト DN の共通名として使用し、すべてのコネクタ ホスト名と Workspace Idp ホスト名をサブジェクトの別名 (SAN) として使用して、単一の証明書を作成することもできます。
注: 信頼される SSL 証明書をインストール時にアップロードしなかった場合、自己署名証明書が自動生成されます。この Workspace ONE Access で生成された自己署名証明書を使用する場合、Workspace ONE Access で生成されたルート証明書をクライアントのトラストストアに追加する必要があります。ルート証明書
root_ca.per は、
INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf から取得することができます。
自己署名証明書はテスト目的で使用できますが、本番環境では、パブリックまたは内部 CA によって署名された信頼される SSL 証明書を使用することをお勧めします。
前提条件
パブリックまたは内部認証局 (CA) によって署名された信頼される SSL 証明書を取得します。