Certificaatverificatie configureren voor een DMZ-implementatiescenario

Als u certificaatverificatie voor een VMware Identity Manager-implementatie op locatie inschakelt, moet u SSL pass-through bij de load balancer instellen. In een DMZ-implementatiescenario, waarbij de VMware Identity Manager-service wordt geïmplementeerd in de DMZ en de VMware Identity Manager Connector wordt geïmplementeerd in het interne netwerk, kunt u certificaatverificatie inschakelen op de connector die is ingesloten in de VMware Identity Manager-service, als u geen inkomende toegang tot de connector wilt toestaan.

In dit scenario gebruikt u alleen de ingesloten connector voor certificaatverificatie. Gebruik de externe connector voor alle andere verificatiemethoden.

Als u de ingesloten connector voor certificaatverificatie wilt gebruiken, maakt u een nieuwe Workspace-identiteitsprovider voor uw directory, koppelt u deze aan de ingesloten connector en schakelt u de certificaatverificatieadapter in op de ingesloten connector. Vervolgens kunt u uw beleid configureren voor gebruik van de certificaatverificatiemethode. Beleid kan ook per app worden ingesteld.

U moet ook een SSL-passthrough-poort voor certificaatverificatie configureren, zodat de SSL-handshake tussen de eindgebruiker en de ingesloten connector plaatsvindt. U stelt de poort in en uploadt het bijbehorende SSL-certificaat op de pagina's met appliance-instellingen en schakelt SSL-passthrough in voor de poort op de load balancer.

Het andere verkeer blijft poort 443 gebruiken.

Opmerking: Deze functie ondersteunt geen lokale directory's. Deze functie is ook alleen van toepassing op DMZ-implementaties op locatie en is niet van toepassing op andere installatiescenario's.

Implementatievereisten

Op de load balancer vóór de appliance van de VMware Identity Manager-service schakelt u SSL-passthrough in op de poort die u als SSL-passthrough-poort voor certificaatverificatie configureert. De standaardpoort is 7443.
De poort moet in het bereik 1024-65535 liggen en kan niet 8443 zijn, omdat dit de adminpoort is.
Controleer of de poort is geopend op de load balancer of een firewall.

Voorwaarden

Vraag een ondertekend SSL-certificaat aan bij een openbare certificaatautoriteit voor de SSL-passthrough-poort op de VMware Identity Manager-server. De hostnaam van het certificaat moet overeenkomen met de hostnaam van de load balancer. Het certificaat moet ook worden vertrouwd door de eindgebruiker.

Procedure

Stel de SSL-passthrough-poort voor certificaatverificatie in.

Klik in de beheerconsole op het tabblad Appliance-instellingen.
Klik op Configuratie beheren en voer het wachtwoord van de admingebruiker in.
Klik in het linkerdeelvenster op SSL-certificaten installeren en selecteer het tabblad Passthrough-certificaat.

Voer de gevraagde informatie in.

Optie	Beschrijving
Poort	Voer de poort in die u wilt gebruiken als SSL-passthrough-poort voor certificaatverificatie. De standaardpoort is 7443. De poort moet in het bereik 1024-65535 liggen en kan niet 8443 zijn, omdat dit de adminpoort is. Opmerking: De poort is alleen beschikbaar als een certificaat is toegevoegd.
SSL-certificaatketen	Kopieer en plak het SSL-certificaat. Voeg de hele certificaatketen in de volgende volgorde toe: Servercertificaat Tussencertificaat Rootcertificaat Kopieer voor elk certificaat de volledige inhoud vanaf de regel -----BEGIN CERTIFICATE----- tot en met -----END CERTIFICATE----. Het certificaat moet de PEM-indeling hebben.
Persoonlijke sleutel	Kopieer en plak de privésleutel.

Optie

Beschrijving

Poort

Voer de poort in die u wilt gebruiken als SSL-passthrough-poort voor certificaatverificatie. De standaardpoort is 7443.

De poort moet in het bereik 1024-65535 liggen en kan niet 8443 zijn, omdat dit de adminpoort is.

Opmerking: De poort is alleen beschikbaar als een certificaat is toegevoegd.

SSL-certificaatketen

Kopieer en plak het SSL-certificaat. Voeg de hele certificaatketen in de volgende volgorde toe:

Servercertificaat

Tussencertificaat

Rootcertificaat

Kopieer voor elk certificaat de volledige inhoud vanaf de regel -----BEGIN CERTIFICATE----- tot en met -----END CERTIFICATE----.

Het certificaat moet de PEM-indeling hebben.

Persoonlijke sleutel

Kopieer en plak de privésleutel.

Klik op Toevoegen.
De server is opnieuw gestart.

Maak een nieuwe Workspace-identiteitsprovider.

Klik op het tabblad Identiteits- en toegangsbeheer en klik vervolgens op het tabblad Identiteitsproviders.
Klik op Identiteitsprovider toevoegen en selecteer Workspace-IdP maken.

Voer de informatie voor de nieuwe identiteitsprovider in.

Optie	Beschrijving
Naam van identiteitsprovider	Geef een naam op voor de identiteitsprovider.
Gebruikers	Selecteer de directory waarvoor u certificaatverificatie wilt inschakelen. Opmerking: Deze functie ondersteunt geen lokale directory's.
Connector(en)	Selecteer de ingesloten connector in de vervolgkeuzelijst Voeg een connector toe. De ingesloten connector heeft dezelfde hostnaam als de service. Schakel het selectievakje Binden aan AD uit. Klik op Connector toevoegen. Belangrijk: Selecteer de optie Binden aan AD niet.
Netwerk	Selecteer de netwerkbereiken voor toegang tot de identiteitsprovider.

Klik op Toevoegen.

Stel de poort voor de ingesloten connector in.
1. Klik op het tabblad Identiteits- en toegangsbeheer en klik vervolgens op Instellen.
2. Klik op de pagina Connectoren op de nieuwe Workspace-identiteitsprovider die u heeft gemaakt voor de ingesloten connector.
3. Wijzig in het tekstvak IdP-hostnaam de waarde van de hostnaam in hostnaam:poort, waarbij poort de aangepaste poort is die u heeft geconfigureerd voor certificaatverificatie in stap 1.
4. Klik op Opslaan.
Schakel de CertificateAuthAdapter in op de ingesloten connector.
1. Klik op Instellen.
2. Zoek op de pagina Connectoren naar de ingesloten connector.
  De ingesloten connector heeft dezelfde hostnaam als de service.
3. Klik in de rij met de ingesloten connector op de link in de kolom Werker.
  Elke werker is gekoppeld aan een directory. Als meerdere werkers zijn vermeld, klikt u op de link van de werker voor de directory waarvoor u certificaatverificatie wilt inschakelen.
4. Klik op het tabblad Verificatieadapters.
5. Klik op CertificateAuthAdapter.
6. Configureer de adapter en schakel deze in. Zie Beheer VMware Identity Manager voor meer informatie.
7. Klik op Opslaan.
Controleer of op de pagina Identiteitsproviders de certificaatverificatiemethode wordt weergegeven.
1. Klik op Beheren en klik vervolgens op het tabblad Identiteitsproviders.
2. Controleer of Certificaatverificatie wordt weergegeven in de kolom Verificatiemethoden voor de nieuwe identiteitsprovider die u heeft gemaakt.
Configureer beleid voor gebruik van de certificaatverificatiemethode volgens uw behoeften.
1. Klik op Beheren en klik vervolgens op het tabblad Identiteitsproviders.
2. Klik op het beleid dat u wilt bewerken.
3. Configureer beleidsregels om de certificaatverificatiemethode te gebruiken.
Zie Beheer VMware Identity Manager voor meer informatie het maken van beleid.