Você pode personalizar a verificação de revogação de certificado e pode especificar onde o vCenter Single Sign-On procura informações sobre certificados revogados.
Você pode personalizar o comportamento usando o vSphere Client ou o script sso-config. As configurações que você seleciona dependem em parte do que a autoridade de certificação oferece suporte.
- Se a verificação de revogação estiver desativada, o vCenter Single Sign-On ignorará quaisquer configurações de CRL ou OCSP. vCenter Single Sign-On não executa verificações em nenhum certificado.
- Se a verificação de revogação estiver ativada, a configuração dependerá da configuração da PKI.
- Somente OCSP
- Se a autoridade de certificação de emissão oferecer suporte a um respondente OCSP, ative o OCSP (OCSP) e desative a CRL como failover para o OCSP (CRL as failover for OCSP).
- Somente CRL
- Se a autoridade de certificação de emissão não for compatível com OSCP, ative a verificação de CRL (CRL checking) e desative a verificação de OSCP (OSCP checking).
- OSCP e CRL
- Se a autoridade de certificação de emissão oferecer suporte a um respondente OCSP e a uma CRL, o vCenter Single Sign-On verificará o respondente OCSP primeiro. Se o respondente retornar um status desconhecido ou não estiver disponível, o vCenter Single Sign-On verificará a CRL. Para esse caso, ative a verificação de OCSP (OCSP checking) e a verificação de CRL (CRL checking) e ative a CRL como failover para OCSP (CRL as failover for OCSP).
- Se a verificação de revogação estiver ativada, os usuários avançados poderão especificar as seguintes configurações adicionais.
- URL do OSCP
- Por padrão, o vCenter Single Sign-On verifica a localização do respondente do OCSP que está definido no certificado que está sendo validado. Se a extensão de Acesso a Informações da Autoridade estiver ausente do certificado ou se você quiser substituí-la, poderá especificar explicitamente um local.
- Usar CRL do certificado
- Por padrão, vCenter Single Sign-On verifica a localização da CRL que está definida no certificado que está sendo validado. Desative essa opção se a extensão de ponto de distribuição de CRL estiver ausente do certificado ou se você quiser substituir o padrão.
- Localização da CRL
- Use essa propriedade se você desativar Usar CRL do certificado (Use CRL from certificate) e quiser especificar um local (arquivo ou URL HTTP) onde a CRL está localizada.
Você pode limitar ainda mais os certificados que o vCenter Single Sign-On aceita adicionando uma política de certificado.
Pré-requisitos
- Verifique se uma infraestrutura de chave pública (PKI) corporativa está configurada no seu ambiente e se os certificados atendem aos seguintes requisitos:
- Um Nome Principal do Usuário (UPN) deve corresponder a uma conta do Active Directory na extensão Nome Alternativo da Entidade (SAN).
-
O certificado deve especificar a Autenticação do Cliente no campo Política de Aplicativo ou Uso Estendido de Chave ou o navegador não mostrará o certificado.
- Verifique se o certificado vCenter Server é confiável para a estação de trabalho do usuário final. Caso contrário, o navegador não tentará a autenticação.
- Adicione uma origem de identidade de Active Directory a vCenter Single Sign-On.
- Atribua a função de Administrador vCenter Server a um ou mais usuários na origem de identidade do Active Directory. Esses usuários podem realizar tarefas de gerenciamento porque eles podem se autenticar e têm vCenter Server privilégios de administrador.