Voor Android-certificaatverificatie wordt de certificaatproxyservice op het VMware Identity Manager-knooppunt als onafhankelijke service uitgevoerd om verbindingen op poort 5262 te ontvangen en als proxy te fungeren voor de verbindingen met de VMware identity Manager-service op poort 443 voor verificatie.

Het HTTPS 443-verkeer voor VMware Identity Manager kan op Layer 7 SSL-offloading op de load balancer/reverse proxy worden ingesteld of worden toegestaan om als Layer 4 TCP naar de back-endserver te worden doorgevoerd via SSL. Wanneer 443 verkeer is geconfigureerd met SSL-passthrough, moet het openbaar vertrouwde certificaat worden gedeeld tussen de VMware Identity Manager-service op poort 443 en de CertProxy-service op poort 5262. Er is geen aanvullende configuratie nodig.

Als het HTTPS-verkeer via SSL wordt afgeladen op de load balancer / reverse proxy, gebruikt de VMware Identity Manager-service een automatisch ondertekend certificaat voor vertrouwen dat tijdens het installatieproces van de applicatie is gegenereerd. Omdat 5262 op SSL Layer 4 TCP met SSL-passthrough moet worden ingesteld waarvoor een openbaar vertrouwd SSL-certificaat is vereist, leidt dit tot niet-overeenkomende certificaten voor twee services die op de host worden uitgevoerd. Om dit probleem te omzeilen, moet voor de CertProxy-service een secundaire poort 5263 op de server worden geconfigureerd. Poort 5263 deelt hetzelfde automatisch ondertekende certificaat als datgene dat op de VMware Identity Manager-service wordt gedeeld. Door de extra poort 5263 te configureren, kan de communicatie worden beveiligd en vertrouwd tijdens het Mobiele SSO-proces voor Androids terwijl ook versleuteling van HTTPS-verkeer op de load balancer is toegestaan.

Kiezen tussen SSL-herversleuteling en SSL-offloading voor HTTP 443-verkeer

De volgende beslissingsmatrix kan u helpen de certificaatproxyservice met de VMware Identity Manager-service in te stellen.

In deze matrix worden SAN-certificaten gedefinieerd als certificaat met de VMware Identity Manager VIP FQDN en elke knooppuntmachine-FQDN. De FQDN heeft de indeling van een niet-routeerbaar domein/subdomein. Op basis van uw VMware-ontwerp kunt u de matrix gebruiken om te bepalen of poort 5263 is geconfigureerd.

Tabel 1. Beslissingsmatrix voor certificaatproxyconfiguratie

Openbare naamruimte

DMZ-naamruimte

Certificaattype

Vereiste voor load balancer

Certificaatproxypoort 5263 vereist

Gedeelde naamruimte (.com / .com)

voorbeeld.nl

voorbeeld.nl

Jokerteken, SAN

SSL-herversleuteling vereist

Nee

voorbeeld.nl

voorbeeld.nl

Eén host-CN

SSL-herversleuteling vereist

Ja

voorbeeld.nl

voorbeeld.nl

Jokerteken, SAN

SSL-passthrough vereist

Nee

Niet-aaneengesloten naamruimte (.com / .dmz)

voorbeeld.nl

voorbeeld.dmz

Jorkerteken, één host-CN

SSL-herversleuteling vereist

Ja

voorbeeld.nl

voorbeeld.dmz

SAN

SSL-herversleuteling vereist

Nee

voorbeeld.nl

voorbeeld.dmz

SAN

SAN-passthrough vereist

Nee

Figuur 1. VMware Identity Manager-poortproxyconfiguratie in de DMZ met alleen poort 5262 geconfigureerd
Figuur 2.