Antes de habilitar a autenticação de cartão inteligente, você deve configurar o proxy reverso no sistema do vCenter Server.

A configuração de proxy reverso é necessária no vSphere 6.5 e versões posteriores.

Pré-requisitos

Copie os certificados da autoridade de certificação para o sistema do vCenter Server.

Observação: O vCenter Server 7.0 é compatível com o protocolo HTTP / 2. Todos os navegadores e aplicativos modernos, incluindo o vSphere Client, se conectam ao vCenter Server usando HTTP / 2. No entanto, a autenticação de cartão inteligente requer o uso do protocolo HTTP / 1.1. A ativação da autenticação de cartão inteligente desativa a negociação de protocolo de camada de aplicativo (ALPN, https://tools.ietf.org/html/rfc7301 ) para HTTP / 2, impedindo efetivamente que o navegador use HTTP / 2. Os aplicativos que usam apenas HTTP / 2, sem depender do ALPN, continuam a funcionar.

Procedimento

  1. Faça login no shell do vCenter Server como usuário raiz.
  2. Crie um repositório de CA de cliente confiável.
    Este armazenamento contém os certificados da CA de emissão confiável para o certificado do cliente. O cliente aqui é o navegador do qual o processo de cartão inteligente solicita informações ao usuário final.

    O exemplo a seguir mostra como criar um repositório de certificados no vCenter Server.

    Para um único certificado: 
    cd /usr/lib/vmware-sso/
openssl x509 -inform PEM -in xyzCompanySmartCardSigningCA.cer > /usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem

    Para vários certificados: 

    cd /usr/lib/vmware-sso/
openssl x509 -inform PEM -in xyzCompanySmartCardSigningCA.cer >> /usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem
  3. Faça um backup do arquivo /etc/vmware-rhttpproxy/config.xml que inclui a definição de proxy reverso e abra config.xml em um editor.
  4. Faça as seguintes alterações e salve o arquivo. 
    <http>
<maxConnections> 2048 </maxConnections>
<requestClientCertificate>true</requestClientCertificate>
<clientCertificateMaxSize>4096</clientCertificateMaxSize>
<clientCAListFile>/usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem</clientCAListFile>
</http>
    O arquivo config.xml inclui alguns desses elementos. Remova o comentário, atualize ou adicione os elementos conforme necessário.
  5. Reinicie o serviço. 
    /usr/lib/vmware-vmon/vmon-cli --restart rhttpproxy