Настройка проверки подлинности сертификатов для сценариев развертывания в демилитаризованной зоне

При включении проверки подлинности сертификатов для локального развертывания VMware Identity Manager необходимо настроить сквозную передачу SSL в подсистеме балансировки нагрузки. Если при развертывании в демилитаризованной зоне (ДМЗ), когда служба VMware Identity Manager развертывается в ДМЗ, а соединитель VMware Identity Manager — во внутренней сети, требуется запретить входящий доступ к соединителю, можно включить проверку подлинности с помощью сертификата в соединителе, который внедрен в службу VMware Identity Manager.

В таком сценарии используйте внедренный соединитель только для проверки подлинности с помощью сертификата. Для всех остальных методов проверки подлинности используйте внешний соединитель.

Чтобы использовать внедренный соединитель для проверки подлинности с помощью сертификата, создайте нового поставщика удостоверений рабочей области для каталога, свяжите его с внедренным соединителем и включите адаптер проверки подлинности с помощью сертификата во внедренном соединителе. После этого можно настроить политики на использование нужного метода проверки подлинности с помощью сертификата. Политики можно настраивать и для отдельных приложений.

Необходимо также настроить на порте для сквозной передачи SSL проверку подлинности сертификатов, чтобы подтверждение SSL происходило между конечным пользователем и встроенным соединителем. Настройте порт и загрузите для него сертификат SSL на страницах «Настройки устройства», а также включите сквозное подключение SSL для порта в подсистеме балансировки нагрузки.

Остальной трафик по-прежнему будет проходить через порт 443.

Примечание.

Эта функция не поддерживает локальные каталоги. Кроме того, эта функция применима только для локальных развертываний в ДМЗ и не применима для других сценариев установки.

Требования к развертыванию

В подсистеме балансировки нагрузки перед устройством службы VMware Identity Manager включите сквозную передачу SSL на порте, который вы настраиваете в качестве порта сквозной передачи SSL, для проверки подлинности сертификата. По умолчанию используется порт 7443.
Номер порта должен находиться в диапазоне 1024–65535. Это не может быть порт 8443, так как он используется для администрирования.
Убедитесь, что порт открыт в подсистеме балансировки нагрузки или в брандмауэре.

Необходимые условия

Для порта сквозной передачи SSL на сервере VMware Identity Manager получите подписанный сертификат SSL из открытого Центра сертификации. Имя узла в сертификате должно соответствовать имени узла балансировки нагрузки. Сертификат также должен быть доверенным сертификатом конечного пользователя.

Процедура

Настройте порт для сквозной передачи SSL в целях проверки подлинности сертификата.

В консоли администрирования выберите вкладку Настройки устройства.
Щелкните Управление конфигурацией и введите пароль администратора.
В области слева щелкните Установить сертификаты SSL и выберите вкладку Сертификат сквозной передачи.

Введите требуемые данные.

Параметр	Описание
Порт	Введите номер порта, который нужно использовать в качестве порта сквозной передачи SSL для проверки подлинности сертификатов. По умолчанию используется порт 7443. Номер порта должен находиться в диапазоне 1024–65535. Это не может быть порт 8443, так как он используется для администрирования. Примечание. Порт доступен только в том случае, если добавлен сертификат.
Цепочка сертификатов SSL	Скопируйте и вставьте сертификат SSL. Вставьте всю цепочку сертификатов в следующем порядке: сертификат сервера; промежуточный сертификат; корневой сертификат. Для каждого сертификата скопируйте все содержимое между строками и сами строки «-----BEGIN CERTIFICATE-----» и «-----END CERTIFICATE----». У файлов сертификатов должен быть формат PEM.
Закрытый ключ	Скопируйте и вставьте закрытый ключ.

Параметр

Описание

Порт

Введите номер порта, который нужно использовать в качестве порта сквозной передачи SSL для проверки подлинности сертификатов. По умолчанию используется порт 7443.

Номер порта должен находиться в диапазоне 1024–65535. Это не может быть порт 8443, так как он используется для администрирования.

Примечание.

Порт доступен только в том случае, если добавлен сертификат.

Цепочка сертификатов SSL

Скопируйте и вставьте сертификат SSL. Вставьте всю цепочку сертификатов в следующем порядке:

сертификат сервера;

промежуточный сертификат;

корневой сертификат.

Для каждого сертификата скопируйте все содержимое между строками и сами строки «-----BEGIN CERTIFICATE-----» и «-----END CERTIFICATE----».

У файлов сертификатов должен быть формат PEM.

Закрытый ключ

Скопируйте и вставьте закрытый ключ.

Нажмите кнопку Добавить.

Сервер перезапустится.

Создайте поставщика удостоверений Workspace.

Перейдите на вкладку Управление учетными данными и доступом, а затем — на вкладку Поставщики удостоверений.
Щелкните Добавить поставщика удостоверений и выберите Создать поставщика удостоверений Workspace.

Введите данные нового поставщика удостоверений.

Параметр	Описание
Имя поставщика удостоверений	Введите имя поставщика удостоверений.
Пользователи	Выберите каталог, для которого необходимо включить проверку подлинности с помощью сертификата. Примечание. Эта функция не поддерживает локальные каталоги.
Соединители	В раскрывающемся меню Добавление соединителя выберите внедренный соединитель. Внедренный соединитель имеет то же имя узла, что и служба. Снимите флажок Привязать к AD. Щелкните Добавить соединитель. Важно!. Не устанавливайте параметр Привязать к AD.
Сеть	Выберите сетевые диапазоны, в которых будет доступен поставщик удостоверений.

Нажмите кнопку Добавить.

Настройте порт для встроенного соединителя.
1. Откройте вкладку Управление учетными данными и доступом и щелкните Настройка.
2. На странице «Соединители» щелкните поставщика удостоверений рабочей области, созданного для внедренного соединителя.
3. В текстовом поле Имя узла поставщика удостоверений измените значение hostname на hostname:port, где port — это настраиваемый порт, настроенный для проверки подлинности сертификатов на шаге 1.
4. Нажмите кнопку Сохранить.
Включите адаптер проверки подлинности с помощью (CertificateAuthAdapter) во внедренном соединителе.
1. Щелкните Настройка.
2. На странице «Соединители» найдите внедренный соединитель.
  
  Внедренный соединитель имеет то же имя узла, что и служба.
3. В строке внедренного соединителя щелкните ссылку, расположенную в столбце Рабочий процесс.
  
  Каждый рабочий процесс связан с каталогом. Если имеется несколько рабочих процессов, щелкните ссылку на рабочий процесс того каталога, для которого следует включить проверку подлинности с помощью сертификата.
4. Перейдите на вкладку Модули авторизации.
5. Щелкните CertificateAuthAdapter.
6. Настройте и включите адаптер. Дополнительные сведения см. в разделе Администрирование VMware Identity Manager.
7. Нажмите кнопку Сохранить.
Убедитесь, что на странице «Поставщики удостоверений» отображается метод проверки подлинности с помощью сертификата.
1. Щелкните Управление, затем откройте вкладку Поставщики удостоверений.
2. Убедитесь, что элемент Проверка подлинности с помощью сертификата присутствует в столбце Методы проверки подлинности для созданного поставщика удостоверений.
Должным образом настройте политики на использование нужного метода проверки подлинности с помощью сертификата.
1. Щелкните Управление, затем откройте вкладку Поставщики удостоверений.
2. Выберите политику, которую необходимо отредактировать.
3. Должным образом настройте политики на использование нужного метода проверки подлинности сертификатов.
Дополнительные сведения о создании политик см. в разделе Администрирование VMware Identity Manager.