При установке службы VMware Identity Manager создается сертификат SSL по умолчанию для серверов. Этот самозаверяющийся сертификат можно использовать для тестирования. Тем не менее рекомендуется использовать сертификаты SSL, подписанные открытым центром сертификации (ЦС), в производственной среде.

Примечание: Если подсистема балансировки нагрузки перед VMware Identity Manager завершает сеанс SSL, к ней применяется сертификат SSL.

Необходимые условия

  • Создайте запрос подписи сертификата (CSR) и получите действительный подписанный сертификат SSL из Центра сертификации. В качестве сертификата может быть файл PEM или PFX.
  • В качестве обычного имени в различающемся имени субъекта используйте полное доменное имя, которое пользователи используют для доступа к службе VMware Identity Manager. Если устройство VMware Identity Manager находится за подсистемой балансировки нагрузки, этим именем является имя сервера подсистемы балансировки нагрузки.
  • Если сеанс SSL не будет завершен в подсистеме балансировки нагрузки, сертификат SSL, используемый службой, должен включать в себя альтернативные имена субъектов (SAN) для всех полных доменных имен в кластере VMware Identity Manager. Включение имен SAN позволяет узлам в кластере выполнять запросы между собой. Также включите альтернативное имя субъекта для полного доменного имени узла, которое пользователи будут использовать для доступа к службе VMware Identity Manager, помимо использования для обычного имени, так как это требуется в некоторых браузерах.
  • Если в развертывание включен резервный центр обработки данных, убедитесь, что сертификат VMware Identity Manager включает полное доменное имя подсистемы балансировки нагрузки основного ЦОД, а также полное доменное имя подсистемы балансировки нагрузки резервного ЦОД. В противном случае необходимо использовать групповой сертификат.

Процедура

  1. В консоли VMware Identity Manager выберите вкладку Настройки устройства.
  2. Щелкните Управление конфигурацией и введите пароль администратора.
  3. Выберите Установить сертификаты SSL > Сертификат сервера.
  4. На вкладке «Сертификат SSL» выберите Пользовательский сертификат.
  5. Чтобы импортировать файл сертификата, нажмите Выбрать файл и перейдите к файлу сертификата, который нужно импортировать.
    При импорте файла PEM убедитесь, что файл содержит всю цепочку сертификатов в правильном порядке. Все содержимое между строками и сами строки «-----BEGIN CERTIFICATE-----» и «-----END CERTIFICATE----» должны быть включены.
  6. При импорте файла PEM необходимо импортировать закрытый ключ. Щелкните Выбрать файл и перейдите к файлу закрытого ключа. Все содержимое между строками «----BEGIN RSA PRIVATE KEY» и «---END RSA PRIVATE KEY» должно быть включено.
    Если импортирован файл PFX, введите пароль для этого файла.
  7. Нажмите кнопку Сохранить.

Пример: Пример сертификата PEM

Пример цепочки сертификатов
-----BEGIN CERTIFICATE-----

jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+

...

W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1

-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----

WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+

...

O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1

-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----

dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+

...

5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1

-----END CERTIFICATE-----
Пример цепочки закрытых ключей
-----BEGIN RSA PRIVATE KEY-----

jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+

...

1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1

-----END RSA PRIVATE KEY-----