Настройка проверки подлинности сертификатов для сценариев развертывания в демилитаризованной зоне

При включении проверки подлинности сертификатов для локального развертывания VMware Identity Manager необходимо настроить сквозную передачу SSL в подсистеме балансировки нагрузки. Если при развертывании в демилитаризованной зоне (ДМЗ), когда служба VMware Identity Manager развертывается в ДМЗ, а VMware Identity Manager Connector — во внутренней сети, требуется запретить входящий доступ к соединителю, можно включить проверку подлинности с помощью сертификата в соединителе, который внедрен в службу VMware Identity Manager.

В таком сценарии используйте внедренный соединитель только для проверки подлинности с помощью сертификата. Для всех остальных методов проверки подлинности используйте внешний соединитель.

Чтобы использовать внедренный соединитель для проверки подлинности с помощью сертификата, создайте нового поставщика удостоверений рабочей области для каталога, свяжите его с внедренным соединителем и включите адаптер проверки подлинности с помощью сертификата во внедренном соединителе. После этого можно настроить политики на использование нужного метода проверки подлинности с помощью сертификата. Политики можно настраивать и для отдельных приложений.

Необходимо также настроить на порте для сквозной передачи SSL проверку подлинности сертификатов, чтобы подтверждение SSL происходило между конечным пользователем и встроенным соединителем. Настройте порт и загрузите для него сертификат SSL на страницах «Настройки устройства», а также включите сквозное подключение SSL для порта в подсистеме балансировки нагрузки.

Остальной трафик по-прежнему будет проходить через порт 443.

Примечание: Эта функция не поддерживает локальные каталоги. Кроме того, эта функция применима только для локальных развертываний в ДМЗ и не применима для других сценариев установки.

Требования к развертыванию

В подсистеме балансировки нагрузки перед устройством службы VMware Identity Manager включите сквозную передачу SSL на порте, который вы настраиваете в качестве порта сквозной передачи SSL, для проверки подлинности сертификата. По умолчанию используется порт 7443.
Номер порта должен находиться в диапазоне 1024–65535. Это не может быть порт 8443, так как он используется для администрирования.
Убедитесь, что порт открыт в подсистеме балансировки нагрузки или в брандмауэре.

Необходимые условия

Для порта сквозной передачи SSL на сервере VMware Identity Manager получите подписанный сертификат SSL из открытого Центра сертификации. Имя узла в сертификате должно соответствовать имени узла балансировки нагрузки. Сертификат также должен быть доверенным сертификатом конечного пользователя.

Процедура

Настройте порт для сквозной передачи SSL в целях проверки подлинности сертификата.

а. В консоли администрирования выберите вкладку Настройки устройства.
б. Щелкните Управление конфигурацией и введите пароль администратора.
в. В области слева щелкните Установить сертификаты SSL и выберите вкладку Сертификат сквозной передачи.

г. Введите требуемые данные.

Параметр	Описание
Порт	Введите номер порта, который нужно использовать в качестве порта сквозной передачи SSL для проверки подлинности сертификатов. По умолчанию используется порт 7443. Номер порта должен находиться в диапазоне 1024–65535. Это не может быть порт 8443, так как он используется для администрирования. Примечание: Порт доступен только в том случае, если добавлен сертификат.
Цепочка сертификатов SSL	Скопируйте и вставьте сертификат SSL. Вставьте всю цепочку сертификатов в следующем порядке: сертификат сервера; промежуточный сертификат; корневой сертификат. Для каждого сертификата скопируйте все содержимое между строками и сами строки «-----BEGIN CERTIFICATE-----» и «-----END CERTIFICATE----». У файлов сертификатов должен быть формат PEM.
Закрытый ключ	Скопируйте и вставьте закрытый ключ.

Параметр

Описание

Порт

Введите номер порта, который нужно использовать в качестве порта сквозной передачи SSL для проверки подлинности сертификатов. По умолчанию используется порт 7443.

Номер порта должен находиться в диапазоне 1024–65535. Это не может быть порт 8443, так как он используется для администрирования.

Примечание: Порт доступен только в том случае, если добавлен сертификат.

Цепочка сертификатов SSL

Скопируйте и вставьте сертификат SSL. Вставьте всю цепочку сертификатов в следующем порядке:

сертификат сервера;

промежуточный сертификат;

корневой сертификат.

Для каждого сертификата скопируйте все содержимое между строками и сами строки «-----BEGIN CERTIFICATE-----» и «-----END CERTIFICATE----».

У файлов сертификатов должен быть формат PEM.

Закрытый ключ

Скопируйте и вставьте закрытый ключ.

д. Нажмите кнопку Добавить.
Сервер перезапустится.

Создайте поставщика удостоверений Workspace.

а. Перейдите на вкладку Управление учетными данными и доступом, а затем — на вкладку Поставщики удостоверений.
б. Щелкните Добавить поставщика удостоверений и выберите Создать поставщика удостоверений Workspace.

в. Введите данные нового поставщика удостоверений.

Параметр	Описание
Имя поставщика удостоверений	Введите имя поставщика удостоверений.
Пользователи	Выберите каталог, для которого необходимо включить проверку подлинности с помощью сертификата. Примечание: Эта функция не поддерживает локальные каталоги.
Соединители	В раскрывающемся меню Добавление соединителя выберите внедренный соединитель. Внедренный соединитель имеет то же имя узла, что и служба. Снимите флажок Привязать к AD. Щелкните Добавить соединитель. Важно!: Не устанавливайте параметр Привязать к AD.
Сеть	Выберите сетевые диапазоны, в которых будет доступен поставщик удостоверений.

г. Нажмите кнопку Добавить.

Настройте порт для встроенного соединителя.
1. а. Откройте вкладку Управление учетными данными и доступом и щелкните Настройка.
2. б. На странице «Соединители» щелкните поставщика удостоверений рабочей области, созданного для внедренного соединителя.
3. в. В текстовом поле Имя узла поставщика удостоверений измените значение hostname на hostname:port, где port — это настраиваемый порт, настроенный для проверки подлинности сертификатов на шаге 1.
4. г. Нажмите кнопку Сохранить.
Включите адаптер проверки подлинности с помощью (CertificateAuthAdapter) во внедренном соединителе.
1. а. Щелкните Настройка.
2. б. На странице «Соединители» найдите внедренный соединитель.
  Внедренный соединитель имеет то же имя узла, что и служба.
3. в. В строке внедренного соединителя щелкните ссылку, расположенную в столбце Рабочий процесс.
  Каждый рабочий процесс связан с каталогом. Если имеется несколько рабочих процессов, щелкните ссылку на рабочий процесс того каталога, для которого следует включить проверку подлинности с помощью сертификата.
4. г. Перейдите на вкладку Модули авторизации.
5. д. Щелкните CertificateAuthAdapter.
6. е. Настройте и включите адаптер. Дополнительные сведения см. в разделе Администрирование VMware Identity Manager.
7. ё. Нажмите кнопку Сохранить.
Убедитесь, что на странице «Поставщики удостоверений» отображается метод проверки подлинности с помощью сертификата.
1. а. Щелкните Управление, затем откройте вкладку Поставщики удостоверений.
2. б. Убедитесь, что элемент Проверка подлинности с помощью сертификата присутствует в столбце Методы проверки подлинности для созданного поставщика удостоверений.
Должным образом настройте политики на использование нужного метода проверки подлинности с помощью сертификата.
1. а. Щелкните Управление, затем откройте вкладку Поставщики удостоверений.
2. б. Выберите политику, которую необходимо отредактировать.
3. в. Должным образом настройте политики на использование нужного метода проверки подлинности сертификатов.
Дополнительные сведения о создании политик см. в разделе Администрирование VMware Identity Manager.