Для проверки подлинности с помощью сертификата Android на узле VMware Identity Manager запущена служба прокси-сервера сертификата в качестве независимой службы для подключений через порт 5262 и подключения к службе VMware identity Manager через порт 443 для проверки подлинности.
Для трафика HTTPS 443 для VMware Identity Manager можно установить разгрузку SSL уровня 7 в подсистеме балансировки нагрузки/обратного прокси-сервера или разрешить сквозной режим SSL в качестве TCP уровня 4 на внутренний сервер. Если трафик 443 настроен с помощью сквозного режима SSL, общедоступные доверенные сертификаты используются совместно со службой VMware Identity Manager на порте 443 и службой CertProxy на порте 5262. Дополнительные настройки не требуются.
Если для трафика HTTPS SSL установлена разгрузка в подсистеме балансировки нагрузки или обратном прокси-сервере, в службе VMware Identity Manager используется самозаверяющий доверенный сертификат, который создается в процессе установки приложений. Поскольку для порта 5262 должно быть установлено значение TCP уровня 4 SSL в сквозном режиме SSL, для которого требуется общедоступный доверенный сертификат SSL, это приводит к несоответствию сертификатов между двумя службами, запущенными на узле. Эту проблему можно обойти, настроив на сервере дополнительный порт 5263 в службе CertProxy. Для порта 5263 используется тот же самозаверяющий сертификат, который запущен в службе VMware Identity Manager. Настройка дополнительного порта 5263 дает возможность выполнять защищенный и доверенный обмен данными через единый вход для мобильных устройств Android, позволяя шифровать трафик HTTPS в подсистеме балансировки нагрузки.
Выбор между повторным шифрованием SSL и разгрузкой SSL для трафика HTTP 443
Ниже приведена таблица сравнения для настройки службы прокси-сервера сертификата с помощью службы VMware Identity Manager.
В этой таблице сертификаты SAN определяются как сертификаты, содержащие полное доменное имя VIP VMware Identity Manager и полное доменное имя (FQDN) каждого компьютера узла. Полное доменное имя (FQDN) указано в формате немаршрутизированного домена/поддомена. Используйте таблицу, чтобы определить, настроен ли порт 5263, в зависимости от конфигурации VMware.
Общедоступное пространство имен |
Пространство имен в ДМЗ |
Тип сертификата |
Требование к подсистеме балансировки нагрузки |
Требуется порт 5263 для прокси-сервера сертификата |
|---|---|---|---|---|
Общее пространство имен (.com/.com) |
||||
example.com |
example.com |
Подстановочные знаки, сеть SAN |
Требуется повторное шифрование по протоколу SSL |
Нет |
example.com |
example.com |
Общее имя отдельного узла |
Требуется повторное шифрование по протоколу SSL |
Да |
example.com |
example.com |
Подстановочные знаки, сеть SAN |
Требуется сквозная передача по протоколу SSL |
Нет |
Разделенное пространство имен (.com/.dmz) |
||||
example.com |
example.dmz |
Подстановочные знаки, отдельный узел CN |
Требуется повторное шифрование по протоколу SSL |
Да |
example.com |
example.dmz |
Сеть SAN |
Требуется повторное шифрование по протоколу SSL |
Нет |
example.com |
example.dmz |
Сеть SAN |
Требуется сквозной режим сети SAN |
Нет |
