安裝 VMware Identity Manager 服務時,系統會產生預設 SSL 伺服器憑證。您可以使用此自我簽署憑證進行測試。不過,最佳做法是將公用憑證授權機構 (CA) 所簽署的 SSL 憑證用於生產環境。
備註: 如果位於
VMware Identity Manager 前方的負載平衡器終止了 SSL,則 SSL 憑證會套用至負載平衡器。
必要條件
- 產生憑證簽署要求 (CSR),並自 CA 取得有效且已簽署的 SSL 憑證。憑證可以是 PEM 或 PFX 檔案。
- 對於主體 DN 的一般名稱部分,請採用使用者用來存取 VMware Identity Manager 服務的完整網域名稱。如果 VMware Identity Manager 應用裝置位於負載平衡器後方,則此名稱將是負載平衡器的伺服器名稱。
- 如果 SSL 並未在負載平衡器上終止,則服務所使用的 SSL 憑證必須包含 VMware Identity Manager 叢集中每個完整網域名稱的主體別名 (SAN)。包含 SAN 可讓叢集中的節點互相進行要求。此外,因為某些瀏覽器的要求,除了用於一般名稱之外,也包含使用者用來存取 VMware Identity Manager 服務之 FQDN 主機名稱的 SAN。
- 如果您的部署包含次要資料中心,請確定 VMware Identity Manager 憑證包含主要資料中心之負載平衡器的 FQDN,以及次要資料中心之負載平衡器的 FQDN。否則,憑證必須為萬用字元憑證。
程序
範例: PEM 憑證範例
憑證鏈結範例 |
---|
-----BEGIN CERTIFICATE----- |
jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+ ... W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1 |
-----END CERTIFICATE----- |
-----BEGIN CERTIFICATE----- |
WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+ ... O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1 |
-----END CERTIFICATE----- |
-----BEGIN CERTIFICATE----- |
dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+ ... 5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1 |
-----END CERTIFICATE----- |
私密金鑰範例 |
---|
-----BEGIN RSA PRIVATE KEY----- |
jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+ ... 1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1 |
-----END RSA PRIVATE KEY----- |