Er is een vertrouwd SSL-certificaat vereist voor servers van Workspace ONE Access Connector waarop de Kerberos-verificatieservice is geïnstalleerd. Voor de Kerberos-verificatieservice is de verbinding binnenkomend en eindgebruikers maken SSL-verbindingen met de connector.
Vereisten voor het vertrouwde SSL-certificaat voor de Kerberos-verificatieservice zijn onder meer:
- Het certificaat moet de indeling PEM of PFX hebben.
- Als het certificaat een PEM-bestand is, moet u ook de persoonlijke sleutel uploaden.
- De lengte van de certificaatsleutel moet tussen 1024-4096 bits liggen.
- Zorg ervoor dat het certificaatbestand de volledige certificaatketen in de juiste volgorde bevat.
- Het certificaat moet worden ondertekend door een openbare of interne certificaatautoriteit.
- Als u meerdere instanties van de Kerberos-verificatieservice implementeert om hoge beschikbaarheid voor Kerberos-verificatie in te stellen, is een load balancer vereist vóór de instanties. In dit geval moeten de load balancer en alle connectorinstanties vertrouwde SSL-certificaten hebben die door een openbare of interne certificaatautoriteit zijn ondertekend. Voor het certificaat van de load balancer gebruikt u de hostnaam van de Workspace-IdP, die is ingesteld op de configuratiepagina van de Workspace-IdP, als de algemene naam van de onderwerp-DN. Gebruik de hostnaam van de connector als de algemene naam van de onderwerp-DN voor elk connectorinstantiecertificaat . Ook kunt u een certificaat maken met behulp van de hostnaam van de Workspace-IdP als de algemene naam van de onderwerp-DN, en alle hostnamen van de connector, alsmede de hostnaam van de Workspace-IdP, als alternatieve onderwerpnamen (SAN's).
Opmerking: Als u tijdens de installatie geen vertrouwd SSL-certificaat heeft geüpload, is een zelfondertekend certificaat automatisch gegenereerd. Als u dit met
Workspace ONE Access gegenereerde zelfondertekend certificaat wilt gebruiken, moet u het rootcertificaat dat met
Workspace ONE Access is gegenereerd, aan truststores van clients toevoegen. U kunt het rootcertificaat,
root_ca.per, ophalen uit
INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf.
Hoewel u het zelfondertekende certificaat voor testdoeleinden kunt gebruiken, raden wij u voor productiegebruik aan om vertrouwde SSL-certificaten te gebruiken die zijn ondertekend door een openbare of interne certificaatautoriteit.
Voorwaarden
Verkrijg een vertrouwd SSL-certificaat dat is ondertekend door een openbare of interne certificaatautoriteit (CA).