При установке службы Workspace ONE Access создается сертификат SSL по умолчанию для серверов. Этот самозаверяющийся сертификат можно использовать для тестирования. Тем не менее рекомендуется использовать сертификаты SSL, подписанные открытым центром сертификации (ЦС), в производственной среде.

Примечание: Если подсистема балансировки нагрузки перед Workspace ONE Access завершает сеанс SSL, к ней применяется сертификат SSL.

Необходимые условия

  • Создайте запрос подписи сертификата (CSR) и получите действительный подписанный сертификат SSL из Центра сертификации. В качестве сертификата может быть файл PEM или PFX. Сертификаты PEM, закодированные с использованием закрытого ключа с помощью стандарта PKCS #1.

    При импорте файла PEM убедитесь, что файл содержит всю цепочку сертификатов в правильном порядке. Теги -----BEGIN CERTIFICATE----- и -----END CERTIFICATE---- должны быть обязательно включены для каждого сертификата. Порядок расположения сертификатов: сначала основной, потом промежуточный, а затем КОРНЕВОЙ сертификат.

  • В качестве обычного имени в различающемся имени субъекта используйте полное доменное имя, которое пользователи используют для доступа к службе Workspace ONE Access. Если устройство Workspace ONE Access находится за подсистемой балансировки нагрузки, этим именем является имя сервера подсистемы балансировки нагрузки.
  • Если сеанс SSL не будет завершен в подсистеме балансировки нагрузки, сертификат SSL, используемый службой, должен включать в себя альтернативные имена субъектов (SAN) для всех полных доменных имен в кластере Workspace ONE Access. Включение имен SAN позволяет узлам в кластере выполнять запросы между собой. Также включите альтернативное имя субъекта для полного доменного имени узла, которое пользователи будут использовать для доступа к службе Workspace ONE Access, помимо использования для обычного имени, так как это требуется в некоторых браузерах.
  • Если в развертывание включен резервный центр обработки данных, убедитесь, что сертификат Workspace ONE Access включает полное доменное имя подсистемы балансировки нагрузки основного ЦОД, а также полное доменное имя подсистемы балансировки нагрузки резервного ЦОД. В противном случае необходимо использовать групповой сертификат.

Процедура

  1. Выполните вход в консоль Workspace ONE Access.
  2. Выберите Мониторинг > Устойчивость.
  3. Щелкните Конфигурация виртуального устройства на узле службы, который необходимо настроить, и войдите в систему, используя пароль администратора.
  4. Выберите Установить сертификаты SSL > Сертификат сервера.
  5. На вкладке «Сертификат SSL» выберите Пользовательский сертификат.
  6. Чтобы импортировать файл сертификата, нажмите Выбрать файл и перейдите к файлу сертификата, который нужно импортировать.
    При импорте файла PEM убедитесь, что файл содержит всю цепочку сертификатов в правильном порядке. Теги -----BEGIN CERTIFICATE----- и -----END CERTIFICATE---- должны быть обязательно включены для каждого сертификата. Порядок расположения сертификатов: сначала основной, а затем промежуточный сертификат.
  7. При импорте файла PEM необходимо импортировать закрытый ключ. Щелкните Выбрать файл и перейдите к файлу закрытого ключа. Все содержимое между строками «----BEGIN RSA PRIVATE KEY» и «---END RSA PRIVATE KEY» должно быть включено.
    Если импортирован файл PFX, введите пароль для этого файла.
  8. Нажмите кнопку Сохранить.

Пример: Пример сертификата PEM

Пример цепочки сертификатов
-----BEGIN CERTIFICATE-----

(Основной сертификат SSL: имя_домена.crt)

-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----

(Промежуточный сертификат: <центр_сертификации>.crt)

-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----

Корневой сертификат: TrustedRoot.crt)

-----END CERTIFICATE-----
Пример цепочки закрытых ключей
-----BEGIN RSA PRIVATE KEY-----

(Закрытый ключ: имя_домена.key)

-----END RSA PRIVATE KEY-----