При установке службы Workspace ONE Access создается сертификат SSL по умолчанию для серверов. Этот самозаверяющийся сертификат можно использовать для тестирования. Тем не менее рекомендуется использовать сертификаты SSL, подписанные открытым центром сертификации (ЦС), в производственной среде.
Необходимые условия
- Создайте запрос подписи сертификата (CSR) и получите действительный подписанный сертификат SSL из Центра сертификации. В качестве сертификата может быть файл PEM или PFX. Сертификаты PEM, закодированные с использованием закрытого ключа с помощью стандарта PKCS #1.
При импорте файла PEM убедитесь, что файл содержит всю цепочку сертификатов в правильном порядке. Теги -----BEGIN CERTIFICATE----- и -----END CERTIFICATE---- должны быть обязательно включены для каждого сертификата. Порядок расположения сертификатов: сначала основной, потом промежуточный, а затем КОРНЕВОЙ сертификат.
- В качестве обычного имени в различающемся имени субъекта используйте полное доменное имя, которое пользователи используют для доступа к службе Workspace ONE Access. Если устройство Workspace ONE Access находится за подсистемой балансировки нагрузки, этим именем является имя сервера подсистемы балансировки нагрузки.
- Если сеанс SSL не будет завершен в подсистеме балансировки нагрузки, сертификат SSL, используемый службой, должен включать в себя альтернативные имена субъектов (SAN) для всех полных доменных имен в кластере Workspace ONE Access. Включение имен SAN позволяет узлам в кластере выполнять запросы между собой. Также включите альтернативное имя субъекта для полного доменного имени узла, которое пользователи будут использовать для доступа к службе Workspace ONE Access, помимо использования для обычного имени, так как это требуется в некоторых браузерах.
- Если в развертывание включен резервный центр обработки данных, убедитесь, что сертификат Workspace ONE Access включает полное доменное имя подсистемы балансировки нагрузки основного ЦОД, а также полное доменное имя подсистемы балансировки нагрузки резервного ЦОД. В противном случае необходимо использовать групповой сертификат.
Процедура
Пример: Пример сертификата PEM
Пример цепочки сертификатов |
---|
-----BEGIN CERTIFICATE----- |
(Основной сертификат SSL: имя_домена.crt) |
-----END CERTIFICATE----- |
-----BEGIN CERTIFICATE----- |
(Промежуточный сертификат: <центр_сертификации>.crt) |
-----END CERTIFICATE----- |
-----BEGIN CERTIFICATE----- |
Корневой сертификат: TrustedRoot.crt) |
-----END CERTIFICATE----- |
Пример цепочки закрытых ключей |
---|
-----BEGIN RSA PRIVATE KEY----- |
(Закрытый ключ: имя_домена.key) |
-----END RSA PRIVATE KEY----- |