Для проверки подлинности с помощью сертификата Android на узле Workspace ONE Access запущена служба прокси-сервера сертификата в качестве независимой службы для подключений через порт 5262 и подключения к службе Workspace ONE Access через порт 443 для проверки подлинности.
Для трафика HTTPS 443 для Workspace ONE Access можно установить разгрузку SSL уровня 7 в подсистеме балансировки нагрузки/обратного прокси-сервера или разрешить сквозной режим SSL в качестве TCP уровня 4 на внутренний сервер. Если трафик 443 настроен с помощью сквозного режима SSL, общедоступные доверенные сертификаты используются совместно со службой Workspace ONE Access на порте 443 и службой CertProxy на порте 5262. Дополнительные настройки не требуются.
Если для трафика HTTPS SSL установлена разгрузка в подсистеме балансировки нагрузки или обратном прокси-сервере, в службе Workspace ONE Access используется самозаверяющий доверенный сертификат, который создается в процессе установки приложений. Поскольку для порта 5262 должно быть установлено значение TCP уровня 4 SSL в сквозном режиме SSL, для которого требуется общедоступный доверенный сертификат SSL, это приводит к несоответствию сертификатов между двумя службами, запущенными на узле. Эту проблему можно обойти, настроив на сервере дополнительный порт 5263 в службе CertProxy. Для порта 5263 используется тот же самозаверяющий сертификат, который запущен в службе Workspace ONE Access. Настройка дополнительного порта 5263 дает возможность выполнять защищенный и доверенный обмен данными через единый вход для мобильных устройств Android, позволяя шифровать трафик HTTPS в подсистеме балансировки нагрузки.
Выбор между повторным шифрованием SSL и разгрузкой SSL для трафика HTTP 443
Ниже приведена таблица сравнения для настройки службы прокси-сервера сертификата с помощью службы Workspace ONE Access.
В этой таблице сертификаты SAN определяются как сертификаты, содержащие полное доменное имя VIP Workspace ONE Access и полное доменное имя (FQDN) каждого компьютера узла. Полное доменное имя (FQDN) указано в формате немаршрутизированного домена/поддомена. Используйте таблицу, чтобы определить, настроен ли порт 5263, в зависимости от конфигурации VMware.
| Общедоступное пространство имен | Пространство имен в ДМЗ | Тип сертификата | Требование к подсистеме балансировки нагрузки | Требуется порт 5263 для прокси-сервера сертификата |
|---|---|---|---|---|
| Общее пространство имен (.com/.com) | ||||
| example.com | example.com | Подстановочные знаки, сеть SAN | Требуется повторное шифрование по протоколу SSL | Нет |
| example.com | example.com | Общее имя отдельного узла | Требуется повторное шифрование по протоколу SSL | Да |
| example.com | example.com | Подстановочные знаки, сеть SAN | Требуется сквозная передача по протоколу SSL | Нет |
| Разделенное пространство имен (.com/.dmz) | ||||
| example.com | example.dmz | Подстановочные знаки, отдельный узел CN | Требуется повторное шифрование по протоколу SSL | Да |
| example.com | example.dmz | Сеть SAN | Требуется повторное шифрование по протоколу SSL | Нет |
| example.com | example.dmz | Сеть SAN | Требуется сквозная передача по протоколу SSL | Нет |
