Для серверов Workspace ONE Access Connector, на которых установлена служба проверки подлинности Kerberos, требуется доверенный сертификат SSL. Для службы проверки подлинности Kerberos подключение является входящим, а конечный пользователь устанавливает SSL-подключения к соединителю.

К доверенному сертификату SSL для службы проверки подлинности Kerberos предъявляются следующие требования.

  • У файлов сертификатов должен быть формат PEM или PFX.
  • Если сертификат является PEM-файлом, необходимо также отправить закрытый ключ.
  • Ключ сертификата должен быть длиной 1024-4096 бит.
  • Убедитесь, что файл сертификата содержит всю цепочку сертификатов в правильном порядке.
  • Сертификат должен быть подписан общедоступным или внутренним центром сертификации.
  • Для настройки высокой доступности службы проверки подлинности Kerberos при развертывании нескольких экземпляров службы необходимо разместить подсистему балансировки нагрузки перед этими экземплярами. В этом случае подсистема балансировки нагрузки, а также все экземпляры соединителей должны иметь доверенные сертификаты SSL, подписанные общедоступным или внутренним центром сертификации. Для сертификата подсистемы балансировки нагрузки используйте имя узла поставщика удостоверений Workspace, которое задается на странице конфигурации поставщика удостоверений Workspace, как обычное различающееся имя субъекта. Для каждого сертификата экземпляра соединителя используйте имя узла соединителя как обычное различающееся имя субъекта. Кроме того, можно создать один сертификат, используя имя узла поставщика удостоверений Workspace как обычное различающееся имя субъекта, а все имена узлов соединителя и имя узла поставщика удостоверений рабочей Workspace — как альтернативное имя субъекта (SAN).
Примечание: Если доверенный сертификат SSL не отправлен при установке, автоматически создается самозаверяющий сертификат. Если нужно использовать созданный в Workspace ONE Access самозаверяющий сертификат, понадобится добавить корневой сертификат, созданный Workspace ONE Access в клиентских хранилищах доверия. Корневой сертификат root_ca.per можно получить из папки INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf.

Несмотря на то что для тестирования можно использовать самозаверяющий сертификат, в производственной среде рекомендуется применять доверенные сертификаты SSL, подписанные общедоступным или внутренним центром сертификации.

Необходимые условия

Получите доверенный сертификат SSL, подписанный общедоступным или внутренним центром сертификации (ЦС).

Процедура

  1. Войдите на сервер Workspace ONE Access Connector, на котором установлена служба проверки подлинности Kerberos.
  2. Перейдите в папку, содержащую программу установки соединителя, и дважды щелкните файл Workspace ONE Access Connector Installer.exe.
  3. На странице приветствия нажмите кнопку Далее.
  4. На странице обслуживания программы выберите параметр Добавить/удалить службы, а затем нажмите кнопку Далее.
  5. Нажимайте кнопку Далее, пока не откроется страница Установка сертификата SSL для службы проверки подлинности Kerberos.
  6. Установите флажок Хотите ли вы воспользоваться собственным сертификатом SSL?.
  7. Нажмите кнопку Обзор и выберите файл сертификата.
    Файл сертификата должен быть в формате PEM или PFX. При отправке PEM-файла также загрузите закрытый ключ. При отправке PFX-файла также укажите пароль сертификата.