クラスタに複数の VMware Identity Manager 仮想アプライアンスが展開されている場合は、次の要件が満たされていることを確認します。
VMware Identity Manager 3.3.4 以降の証明書を作成するためのガイドライン
- 証明書署名リクエスト (CSR) を生成し、認証局 (CA) から有効な署名付き SSL 証明書を取得します。証明書は、PEM ファイルまたは PFX ファイルのいずれかの形式です。
- サブジェクト DN の共通名部分には、ユーザーが VMware Identity Manager サービスにアクセスするために使用する完全修飾ドメイン名 (FQDN) を使用します。VMware Identity Manager アプライアンスがロード バランサの背後にある場合、この FQDN 名はロード バランサのサーバ名です。
- ロード バランサで SSL を終端していない場合、サービスによって使用される SSL 証明書には VMware Identity Manager クラスタ内の各ノードの FQDN を含むサブジェクトの別名 (SAN) が設定されている必要があります。SAN を含めると、クラスタ内のノードが互いに要求を送信できるようになります。また、VMware Identity Manager サービスにアクセスするためにユーザーが使用する FQDN ホスト名の SAN も、共通名に使用するだけでなく、証明書に含めるようにします。理由は、一部のブラウザで必要となるためです。
VMware Identity Manager 3.3.4 以降で証明書を使用する場合に使用する属性
| クラスタ タイプ |
推奨事項とサポート |
| シングル テナント モードのクラスタ |
| 推奨 |
- ロード バランサおよびノード ドメインに一致するワイルドカード CA 証明書
|
| サポート |
- ロード バランサおよびノード ドメインに一致するワイルドカード自己署名証明書
- ホスト SAN のロード バランサとノード FQDN が追加された自己署名証明書
|
|
| マルチテナントが有効のクラスタ |
| 推奨 |
- ロード バランサおよびノード ドメインに一致するワイルドカード CA 証明書
|
| サポート |
- ロード バランサおよびノード ドメインに一致するワイルドカード自己署名証明書
- ロード バランサ、ノード、およびすべてのテナント エイリアス ホスト名 SAN が追加された自己署名証明書
|
|
