Для проверки подлинности с помощью сертификата Android на узле Workspace ONE Access запущена служба прокси-сервера сертификата в качестве независимой службы для подключений через порт 5262 и подключения к службе Workspace ONE Access через порт 443 для проверки подлинности.

Для трафика HTTPS 443 для Workspace ONE Access можно установить разгрузку SSL уровня 7 в подсистеме балансировки нагрузки/обратного прокси-сервера или разрешить сквозной режим SSL в качестве TCP уровня 4 на внутренний сервер. Если трафик 443 настроен с помощью сквозного режима SSL, общедоступные доверенные сертификаты используются совместно со службой Workspace ONE Access на порте 443 и службой CertProxy на порте 5262. Дополнительные настройки не требуются.

Если для трафика HTTPS SSL установлена разгрузка в подсистеме балансировки нагрузки или обратном прокси-сервере, в службе Workspace ONE Access используется самозаверяющий доверенный сертификат, который создается в процессе установки приложений. Поскольку для порта 5262 должно быть установлено значение TCP уровня 4 SSL в сквозном режиме SSL, для которого требуется общедоступный доверенный сертификат SSL, это приводит к несоответствию сертификатов между двумя службами, запущенными на узле. Эту проблему можно обойти, настроив на сервере дополнительный порт 5263 в службе CertProxy. Для порта 5263 используется тот же самозаверяющий сертификат, который запущен в службе Workspace ONE Access. Настройка дополнительного порта 5263 дает возможность выполнять защищенный и доверенный обмен данными через единый вход для мобильных устройств Android, позволяя шифровать трафик HTTPS в подсистеме балансировки нагрузки.

Выбор между повторным шифрованием SSL и разгрузкой SSL для трафика HTTP 443

Ниже приведена таблица сравнения для настройки службы прокси-сервера сертификата с помощью службы Workspace ONE Access.

В этой таблице сертификаты SAN определяются как сертификаты, содержащие полное доменное имя VIP Workspace ONE Access и полное доменное имя (FQDN) каждого компьютера узла. Полное доменное имя (FQDN) указано в формате немаршрутизированного домена/поддомена. Используйте таблицу, чтобы определить, настроен ли порт 5263, в зависимости от конфигурации VMware.

Табл. 1. Таблица сравнения конфигурации прокси-сервера сертификата
Общедоступное пространство имен Пространство имен в ДМЗ Тип сертификата Требование к подсистеме балансировки нагрузки Требуется порт 5263 для прокси-сервера сертификата
Общее пространство имен (.com/.com)
example.com example.com Подстановочные знаки, сеть SAN Требуется повторное шифрование по протоколу SSL Нет
example.com example.com Общее имя отдельного узла Требуется повторное шифрование по протоколу SSL Да
example.com example.com Подстановочные знаки, сеть SAN Требуется сквозная передача по протоколу SSL Нет
Разделенное пространство имен (.com/.dmz)
example.com example.dmz Подстановочные знаки, отдельный узел CN Требуется повторное шифрование по протоколу SSL Да
example.com example.dmz Сеть SAN Требуется повторное шифрование по протоколу SSL Нет
example.com example.dmz Сеть SAN Требуется сквозная передача по протоколу SSL Нет
Рис. 1. Конфигурация порта прокси-сервера Workspace ONE Access в ДМЗ с настроенным портом 5262
Схема порта прокси-сервера Workspace ONE Access, настроенная для порта 5262
Рис. 2. Конфигурация порта прокси-сервера Workspace ONE Access в ДМЗ с настроенными портами 5262 и 5263
Схема порта прокси-сервера Workspace ONE Access, настроенная для портов 5262 и 5263