安裝 Workspace ONE Access 服務時,系統會產生預設 SSL 伺服器憑證。您可以使用此自我簽署憑證進行測試。不過,最佳做法是將公用憑證授權機構 (CA) 所簽署的 SSL 憑證用於生產環境。

備註: 如果位於 Workspace ONE Access 前方的負載平衡器終止了 SSL,則 SSL 憑證會套用至負載平衡器。

必要條件

  • 產生憑證簽署要求 (CSR),並自 CA 取得有效且已簽署的 SSL 憑證。憑證可以是 PEM 或 PFX 檔案。PEM 憑證會使用 PKCS #1 標準並以私密金鑰編碼。

    如果匯入 PEM 檔案,請確定檔案中包含順序正確的完整憑證鏈結。請務必為每個憑證納入這些標籤:-----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----。順序是主要憑證優先,然後是您的中繼憑證,接著是根憑證。

  • 對於主體 DN 的一般名稱部分,請採用使用者用來存取 Workspace ONE Access 服務的完整網域名稱。如果 Workspace ONE Access 應用裝置位於負載平衡器後方,則此名稱將是負載平衡器的伺服器名稱。
  • 如果 SSL 並未在負載平衡器上終止,則服務所使用的 SSL 憑證必須包含 Workspace ONE Access 叢集中每個完整網域名稱的主體別名 (SAN)。包含 SAN 可讓叢集中的節點互相進行要求。此外,因為某些瀏覽器的要求,除了用於一般名稱之外,也包含使用者用來存取 Workspace ONE Access 服務之 FQDN 主機名稱的 SAN。
  • 如果您的部署包含次要資料中心,請確定 Workspace ONE Access 憑證包含主要資料中心之負載平衡器的 FQDN,以及次要資料中心之負載平衡器的 FQDN。否則,憑證必須為萬用字元憑證。

程序

  1. 登入 Workspace ONE Access 主控台。
  2. 選取監控 > 復原能力
  3. 按一下您要設定之服務節點的 VA 組態,並使用管理員使用者密碼登入。
  4. 選取安裝 SSL 憑證 > 伺服器憑證
  5. 在 [SSL 憑證] 索引標籤中,選取自訂憑證
  6. 若要匯入憑證檔案,請按一下選擇檔案,並導覽至要匯入的憑證檔案。
    如果匯入 PEM 檔案,請確定檔案中包含順序正確的完整憑證鏈結。請務必為每個憑證納入這些標籤:-----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----。順序是主要憑證優先,然後是您的中繼憑證。
  7. 如果匯入 PEM 檔案,請匯入私密金鑰。按一下選擇檔案,然後導覽至私密金鑰檔案。必須包含 ----BEGIN RSA PRIVATE KEY 與 ---END RSA PRIVATE KEY 之間的所有內容。
    如果匯入 PFX 檔案,請輸入 PFX 密碼。
  8. 按一下儲存

範例: PEM 憑證範例

憑證鏈結範例
-----BEGIN CERTIFICATE-----

(您的主要 SSL 憑證:您的 domain_name.crt)

-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----

(您的中繼憑證:<CA>.crt)

-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----

您的根憑證:TrustedRoot.crt

-----END CERTIFICATE-----
私密金鑰範例
-----BEGIN RSA PRIVATE KEY-----

(您的 PrivateKey:your_domain_name.key)

-----END RSA PRIVATE KEY-----