已安裝 Kerberos 驗證服務的 Workspace ONE Access Connector 伺服器需要受信任的 SSL 憑證。對於 Kerberos 驗證服務,該連線屬於輸入,且使用者會建立與連接器的 SSL 連線。

Kerberos 驗證服務的受信任 SSL 憑證需求包括:

  • 憑證必須採用 PEM 或 PFX 格式。
  • 如果憑證是 PEM 檔案,則也必須上傳私密金鑰。
  • 憑證金鑰長度必須介於 1024 - 3072 位元。
  • 確定憑證檔案中包含順序正確的完整憑證鏈結。
  • 憑證必須由公用或內部 CA 簽署。
  • 如果您部署 Kerberos 驗證服務的多個執行個體,以為 Kerberos 驗證設定高可用性,則在執行個體前方需要負載平衡器。在此情況下,負載平衡器和所有連接器執行個體必須具有由公用或內部 CA 簽署的受信任 SSL 憑證。對於負載平衡器憑證,請使用設定於 Workspace IdP 組態頁面中的 Workspace IdP 主機名稱作為主體 DN 一般名稱。對於各個連接器執行個體憑證,請使用連接器主機名稱作為主體 DN 一般名稱。或者,您可以使用 Workspace Idp 主機名稱作為主體 DN 一般名稱,並以所有連接器主機名稱和 Workspace Idp 主機名稱作為主體別名 (SAN) 以建立單一憑證。
備註: 如果您未在安裝期間上傳受信任的 SSL 憑證,則會自動產生自我簽署的憑證。如果您想要使用 Workspace ONE Access 產生的自我簽署憑證,您必須將 Workspace ONE Access 所產生的根憑證新增至用戶端的信任存放區。您可以從 INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf 取得根憑證 root_ca.per

雖然您可以使用自我簽署的憑證進行測試,但對於生產用途,建議您使用由公用或內部 CA 簽署的受信任 SSL 憑證。

必要條件

取得由公用或內部憑證授權機構 (CA) 簽署的受信任 SSL 憑證。

程序

  1. 登入安裝 Kerberos 驗證服務所在的 Workspace ONE Access Connector 伺服器。
  2. 移至包含連接器安裝程式的資料夾,然後按兩下 Workspace ONE Access Connector Installer.exe 檔案。
  3. 在 [歡迎] 頁面上,按下一步
  4. 在 [程式維護] 頁面上,選取新增/移除服務選項,然後按下一步
  5. 持續按下一步,直到安裝 Kerberos 驗證服務的 SSL 憑證頁面顯示。
  6. 選取您要使用自己的 SSL 憑證嗎?核取方塊。
  7. 按一下瀏覽,然後選取憑證檔案。
    憑證檔案必須採用 PEM 或 PFX 格式。如果您上傳 PEM 檔案,則也必須上傳私密金鑰。如果您上傳 PFX 檔案,則也必須指定憑證密碼。