Er is een vertrouwd SSL-certificaat vereist voor servers van Workspace ONE Access Connector waarop de Kerberos-verificatieservice is geïnstalleerd. Voor de Kerberos-verificatieservice is de verbinding binnenkomend en eindgebruikers maken SSL-verbindingen met de connector.

Vereisten voor het vertrouwde SSL-certificaat voor de Kerberos-verificatieservice zijn onder meer:

  • Het certificaat moet de indeling PEM of PFX hebben.
  • Als het certificaat een PEM-bestand is, moet u ook de persoonlijke sleutel uploaden.
  • De lengte van de certificaatsleutel moet tussen 1024-3072 bits liggen.
  • Zorg ervoor dat het certificaatbestand de volledige certificaatketen in de juiste volgorde bevat.
  • Het certificaat moet worden ondertekend door een openbare of interne certificaatautoriteit.
  • Als u meerdere instanties van de Kerberos-verificatieservice implementeert om hoge beschikbaarheid voor Kerberos-verificatie in te stellen, is een load balancer vereist vóór de instanties. In dit geval moeten de load balancer en alle connectorinstanties vertrouwde SSL-certificaten hebben die door een openbare of interne certificaatautoriteit zijn ondertekend. Voor het certificaat van de load balancer gebruikt u de hostnaam van de Workspace-IdP, die is ingesteld op de configuratiepagina van de Workspace-IdP, als de algemene naam van de onderwerp-DN. Gebruik de hostnaam van de connector als de algemene naam van de onderwerp-DN voor elk connectorinstantiecertificaat . Ook kunt u een certificaat maken met behulp van de hostnaam van de Workspace-IdP als de algemene naam van de onderwerp-DN, en alle hostnamen van de connector, alsmede de hostnaam van de Workspace-IdP, als alternatieve onderwerpnamen (SAN's).
Opmerking: Als u tijdens de installatie geen vertrouwd SSL-certificaat heeft geüpload, is een zelfondertekend certificaat automatisch gegenereerd. Als u dit met Workspace ONE Access gegenereerd, zelfondertekend certificaat wilt gebruiken, moet u het rootcertificaat dat met Workspace ONE Access is gegenereerd, aan truststores van clients toevoegen. U kunt het rootcertificaat, root_ca.per, ophalen uit INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf.

Hoewel u het zelfondertekende certificaat voor testdoeleinden kunt gebruiken, raden wij u voor productiegebruik aan om vertrouwde SSL-certificaten te gebruiken die zijn ondertekend door een openbare of interne certificaatautoriteit.

Voorwaarden

Verkrijg een vertrouwd SSL-certificaat dat is ondertekend door een openbare of interne certificaatautoriteit (CA).

Procedure

  1. Meld u aan bij de server van Workspace ONE Access Connector waarop de Kerberos-verificatieservice is geïnstalleerd.
  2. Ga naar de map met het installatieprogramma voor de connector en dubbelklik op het bestand Workspace ONE Access Connector Installer.exe.
  3. Klik op de welkomstpagina op Volgende.
  4. Selecteer op de pagina Programmaonderhoud de optie Services toevoegen/verwijderen en klik vervolgens op Volgende.
  5. Klik op Volgende totdat de pagina Het SSL-certificaat voor de Kerberos-verificatieservice installeren wordt weergegeven.
  6. Schakel het selectievakje Wilt u uw eigen SSL-certificaat gebruiken? in.
  7. Klik op Bladeren en selecteer het certificaatbestand.
    Het certificaatbestand moet de indeling PEM of PFX hebben. Als u een PEM-bestand uploadt, uploadt u ook de persoonlijke sleutel. Als u een PFX-bestand uploadt, geeft u ook het certificaatwachtwoord op.