获取虚主机名

在线编辑

IBM® Verify如果您希望在用户与贵组织进行身份相关操作时提供品牌化的体验,可以为您的租户购买一个自定义主机名。 您可以自定义登录、注册、个人资料管理等操作体验。

准备工作

注意: 请联系您的销售代表购买自定义主机名。 您必须先购买该自定义主机名,才能对其进行配置。

要配置自定义主机名,您和 IBM 必须完成几个配置步骤。 要开始此流程,您必须填写由 IBM 项目办公室提供的 《 IBM 自定义主机名证书申请表 》。

此外,请确保以下事项。

  • 了解 Vanity 主机名的语法和选项,并根据贵组织的证书管理规范选择最适合的方案。
  • 了解先决条件。
  • 请联系您的 IBM® 客户代表,购买一个租户和一个自定义主机名。
  • 请确保您能够与贵组织的 DNS/网站管理员有效沟通,以完成域名验证。
  • 客户必须拥有自定义主机名的域名。 acme.com如果自定义主机名为 sso.acme.com,则贵组织必须拥有该域名。
  • 自定义主机名必须是唯一的,且尚未存在。 该规定适用于租户,且仅限用于 IBM Verify 此用途。

关于此任务

自定义主机名是您 IBM Verify 租户的自定义主机名。 默认租户主机名包含 IBM。 通过自定义主机名,客户可以自定义主机名,从而避免在 URL 中显示 IBM。 例如,您的 Verify 租户主机名可能是 acme.verify.ibm.com,但您可能希望用户看到的自定义主机名是 login.acme.com

虚名主机名语法
当您的组织首次接收一个 IBM Verify 租户时,该租户的 URL 地址将遵循以下语法。 <tenant identifier>.<domain> 其中
  • <tenant identifier> 是提供的租户标识符。 <acme>例如:
  • <domain> 默认设置为 <verify.ibm.com>,但可以自定义为自定义主机名。
  • IBM Verify此示例中的完整主机名是 acme.verify.ibm.com,这是用户登录时所看到的 URL ,以及由 启用的其他身份验证交互。
Verify每个虚拟主机名都需要一个证书,以便在用户与服务器之间进行 SSL 协议协商。
  • 证书必须由“受信任”的证书颁发机构进行签名。 它们不能是自签的。
  • 下一节将介绍为自定义主机名配置证书。
  • 证书配置完成后, IBM 会执行额外步骤以完成自定义主机名的配置。 这些额外步骤大约需要五个工作日才能完成。
证书配置选项
每张证书都必须有一个“通用名称”(CN)。 它还可以拥有“主题别名”(SAN)。 该证书涵盖所有作为CN或SAN列出的主机名。
注意: 例如, *.sso.acme.com 通配符在 CN 或 SAN 中均不被支持。
如果您在填写证书申请表时仅提供“通用名称”,则每个自定义主机名都需要单独的证书。
如果三个 Verify 租户需要自定义主机名,但仅提供了“通用名称”,则该组织需为每个自定义主机名付费,因为每个自定义主机名都有独立的证书。 在此示例中,需要购买三个自定义域名。
CN = sso.acme.com

CN = sso-qa.acme.com

CN = sso-dev.acme.com
sso.acme.com注意: 当用户通过诸如 之类的自定义主机名进行 Verify 身份验证时,用户看到的仅是当前使用的自定义主机名。 用户看不到 sso-qa.acme.comsso-dev.acme.com ,而它们也是有效的自定义主机名。 潜在的攻击者无法轻易发现所有自定义主机名。 他们只能看到自己正在使用的那个。

如果在填写证书申请表时,除了“通用名称”外还提供了“SAN名称”,则每个SAN名称都将与“通用名称”一同配置在同一张证书上。

如果三个 Verify 租户需要一个自定义主机名,且该主机名包含“通用名称”以及 2 个 SAN 名称,则该组织只需为其中一个自定义主机名付费。 在此示例中,需要购买一个自定义主机名。
CN = sso.acme.com
  SAN = sso-qa.acme.com
  SAN = sso-dev.acme.com
sso.acme.com注意: 当用户通过诸如 之类的自定义主机名进行 Verify 身份验证时,该用户还可以看到证书所涵盖的其他自定义主机名。 在这种情况下, sso-qa.acme.comsso-dev.acme.com。 遗憾的是,潜在的攻击者可能会利用这些信息。 这使他们更容易发现所有有效的自定义主机名。
如果您想从“SAN”切换到“CN”,必须重新启动该流程,并根据“CN”的定价结构进行调整。
证书配置选项
选择自定义主机名选项后,组织必须选择“ IBM 预配置”或“第三方证书”来验证或配置证书。
IBM 已配置
IBM 可以代表该组织申请证书。 IBM 使用 DigiCert 作为证书提供商,并由 DigiCert 对证书进行签名。

该证书的验证类型为 OV(组织验证),客户必须通过 DigiCert 进行证书验证。 作为证书颁发机构,Digicert 必须独立验证所申请域名的相关所有者是否已批准该证书。 此 DigiCert 验证流程是独立的,且不涉及任何 IBM Verify 交互。

该流程包括对公司地址的验证以及对域名管理员的验证。 与 DigiCert 的交互完全由 DigiCert 与客户直接进行。

如果您选择“ IBM ”选项,操作流程如下。
  1. 请通知您域名管理页面中 whois.com 列出的域名管理员, DigiCert 将发出域名验证请求。
  2. 请尽快将验证结果发送至 DigiCert。
  3. DigiCert 然后,系统将尝试通过您组织所属的已验证电话号码,联系在 IBM 自定义主机名证书申请表 ”中提供的管理联系人。 验证是在实际通话中进行的。
    注意: 这取决于 DigiCert 能否在组织中找到正确的联系人,因此可能需要多次尝试。
第三方证书
使用第三方证书时,在 IBM 生成证书签名请求(CSR)后,组织可以使用其选择的证书颁发机构。
以下步骤展示了流程。
  1. IBM 生成 CSR。
  2. IBM 将此CSR发送至贵组织。
  3. 贵组织将此CSR发送至贵方的CA。 贵组织可以选择所需的验证类型。
  4. 您的证书颁发机构(CA)将签名的证书退还给您的组织。
  5. 贵机构将证书(叶证书 + 信任链:中间证书和根证书)发送至 IBM

过程

  1. 请下载并填写《 IBM Verify 证书申请表 》。
    请确保填写所有必填项。
  2. 创建支持工单
    请前往 “如何提交工单 ”页面,提交一则主题为 “客户名称的自定义主机名申请”的工单,并将自定义主机名申请表作为附件添加至工单中。
  3. 创建一个 CNAME DNS 记录,将您的自定义主机名指向其对应的 IBM Verify 租户。
    只有贵组织才能创建 CNAME DNS 记录。 例如,sso.clienthostname.com CNAME <tenant>.verify.ibm.com
  4. 正确配置 CNAME DNS 后,请通过之前创建的支持工单通知 IBM。
    该自定义主机名目前尚不可用。 IBM 还必须完成更多流程。
  5. IBM 完成剩余的配置。
    完成此步骤后, IBM 会通知您的组织,自定义主机名即可投入使用。