Android 인증서 인증의 경우 인증서 프록시 서비스는 포트 5262에서 연결을 수신하고 인증을 위해 포트 443에서 VMware identity Manager 서비스로 연결을 프록시하기 위해 VMware Identity Manager 노드에서 독립형 서비스로 실행됩니다.

VMware Identity Manager에 대한 HTTPS 443 트래픽을 로드 밸런서/역방향 프록시의 계층 7 SSL 오프로딩으로 설정하거나 백엔드 서버에 대한 계층 4 TCP로 SSL 패스스루에 허용할 수 있습니다. 443 트래픽이 SSL 패스스루로 구성되면 공개적으로 신뢰할 수 있는 인증서가 포트 443의 VMware Identity Manager 서비스와 포트 5262의 CertProxy 서비스 간에 공유됩니다. 추가적인 구성은 필요하지 않습니다.

HTTPS 트래픽이 로드 밸런서/역방향 프록시에 SSL 오프로드되면 VMware Identity Manager 서비스에서는 애플리케이션 설치 프로세스 동안 생성된 트러스트용 자체 서명된 인증서를 사용합니다. 5262를 공개적으로 신뢰할 수 있는 SSL 인증서를 요구하는 SSL 패스스루에서 SSL 계층 4 TCP로 설정해야 하기 때문에 호스트에서 실행되는 두 서버 간에는 인증서 불일치가 발생합니다. 이 문제를 피하기 위해 CertProxy 서비스에서는 서버에 보조 포트 5263을 구성해야 합니다. 포트 5263은 VMware Identity Manager 서비스에서 실행되는 인증서와 동일한 자체 서명된 인증서를 공유합니다. 추가 포트 5263을 구성하면 로드 밸런서에서 HTTPS 트래픽 암호 해독을 허용하면서 Android에 대한 모바일 SSO 프로세스 전체에서 통신의 보안이 유지되고 신뢰되도록 할 수 있습니다.

HTTP 443 트래픽에 대해 SSL 재암호화 및 SSL 오프로딩 간 선택

다음은 VMware Identity Manager 서비스를 사용하여 인증서 프록시 서비스를 설정하는 데 도움이 되는 의사 결정 매트릭스입니다.

이 매트릭스에서 SAN 인증서는 VMware Identity Manager VIP FQDN 및 각 노드 시스템 FQDN을 포함하는 인증서로 정의됩니다. FQDN은 라우팅할 수 없는 도메인/하위 도메인의 형식입니다. VMware 디자인에 따라, 이 매트릭스를 사용하여 포트 5263이 구성되어 있는지 확인합니다.

표 1. 인증서 프록시 구성 의사 결정 매트릭스

공용 네임스페이스

DMZ 네임스페이스

인증서 유형

로드 밸런서 요구 사항

인증서 프록시 포트 5263 필요 여부

공유 네임스페이스(.com/.com)

example.com

example.com

와일드카드, SAN

SSL 재암호화 필요

아니요

example.com

example.com

단일 호스트 CN

SSL 재암호화 필요

example.com

example.com

와일드카드, SAN

SSL 패스스루 필요

아니요

연결 해제된 네임스페이스(.com/.dmz)

example.com

example.dmz

와일드카드, 단일 호스트 CN

SSL 재암호화 필요

example.com

example.dmz

SAN

SSL 재암호화 필요

아니요

example.com

example.dmz

SAN

SAN 패스스루 필요

아니요

그림 1. 포트 5262만 구성된 DMZ의 VMware Identity Manager 프록시 포트 구성
그림 2.