Você pode personalizar a verificação de revogação de certificado e pode especificar onde o vCenter Single Sign-On procura informações sobre certificados revogados.

Você pode personalizar o comportamento usando o vSphere Client ou o script sso-config. As configurações que você seleciona dependem em parte do que a autoridade de certificação oferece suporte.

  • Se a verificação de revogação estiver desativada, o vCenter Single Sign-On ignorará quaisquer configurações de CRL ou OCSP. vCenter Single Sign-On não executa verificações em nenhum certificado.
  • Se a verificação de revogação estiver ativada, a configuração dependerá da configuração da PKI.
    Somente OCSP
    Se a autoridade de certificação de emissão oferecer suporte a um respondente OCSP, ative o OCSP (OCSP) e desative a CRL como failover para o OCSP (CRL as failover for OCSP).
    Somente CRL
    Se a autoridade de certificação de emissão não for compatível com OSCP, ative a verificação de CRL (CRL checking) e desative a verificação de OSCP (OSCP checking).
    OSCP e CRL
    Se a autoridade de certificação de emissão oferecer suporte a um respondente OCSP e a uma CRL, o vCenter Single Sign-On verificará o respondente OCSP primeiro. Se o respondente retornar um status desconhecido ou não estiver disponível, o vCenter Single Sign-On verificará a CRL. Para esse caso, ative a verificação de OCSP (OCSP checking) e a verificação de CRL (CRL checking) e ative a CRL como failover para OCSP (CRL as failover for OCSP).
  • Se a verificação de revogação estiver ativada, os usuários avançados poderão especificar as seguintes configurações adicionais.
    URL do OSCP
    Por padrão, o vCenter Single Sign-On verifica a localização do respondente do OCSP que está definido no certificado que está sendo validado. Se a extensão de Acesso a Informações da Autoridade estiver ausente do certificado ou se você quiser substituí-la, poderá especificar explicitamente um local.
    Usar CRL do certificado
    Por padrão, vCenter Single Sign-On verifica a localização da CRL que está definida no certificado que está sendo validado. Desative essa opção se a extensão de ponto de distribuição de CRL estiver ausente do certificado ou se você quiser substituir o padrão.
    Localização da CRL
    Use essa propriedade se você desativar Usar CRL do certificado (Use CRL from certificate) e quiser especificar um local (arquivo ou URL HTTP) onde a CRL está localizada.

Você pode limitar ainda mais os certificados que o vCenter Single Sign-On aceita adicionando uma política de certificado.

Pré-requisitos

  • Verifique se uma infraestrutura de chave pública (PKI) corporativa está configurada no seu ambiente e se os certificados atendem aos seguintes requisitos:
    • Um Nome Principal do Usuário (UPN) deve corresponder a uma conta do Active Directory na extensão Nome Alternativo da Entidade (SAN).
    • O certificado deve especificar a Autenticação do Cliente no campo Política de Aplicativo ou Uso Estendido de Chave ou o navegador não mostrará o certificado.

  • Verifique se o certificado vCenter Server é confiável para a estação de trabalho do usuário final. Caso contrário, o navegador não tentará a autenticação.
  • Adicione uma origem de identidade de Active Directory a vCenter Single Sign-On.
  • Atribua a função de Administrador vCenter Server a um ou mais usuários na origem de identidade do Active Directory. Esses usuários podem realizar tarefas de gerenciamento porque eles podem se autenticar e têm vCenter Server privilégios de administrador.

Procedimento

  1. Faça login com o vSphere Client no vCenter Server.
  2. Especifique o nome de usuário e a senha para [email protected] ou outro membro do grupo vCenter Single Sign-On Administrators.
    Se você especificou um domínio diferente durante a instalação, faça login como administrador @ mydomain .
  3. Navegue até a interface de usuário de configuração.
    1. No menu Home (Home), selecione Administration (Administration).
    2. Em Single Sign On (Single Sign On), clique em Configuration (Configuration).
  4. Na guia Provedor de identidade , clique em Autenticação de cartão inteligente (Smart Card Authentication).
  5. Clique em Revogação de certificado (Certificate revocation) e clique em Editar (Edit) para ativar ou desativar a verificação de revogação.
  6. Se as políticas de certificado estiverem em vigor no seu ambiente, você poderá adicionar uma política no painel Políticas de certificado (Certificate policies).