Antes de ativar a autenticação de cartão inteligente, você deve configurar o vCenter Server para solicitar certificados de cliente.

A configuração usa a porta 3128, que é definida e aberta automaticamente em vCenter Server.

Pré-requisitos

Copie os certificados de autoridade de certificação (CA) para o sistema vCenter Server para usar para criar o repositório de CA de cliente confiável. Esse repositório deve conter os certificados confiáveis emitidos pela CA para o certificado do cliente. O cliente aqui é o navegador a partir do qual o processo de cartão inteligente solicita informações ao usuário final.

Observação: vCenter Server 7.0 é compatível com o protocolo HTTP/2. Todos os navegadores e aplicativos modernos, incluindo o vSphere Client, conectam-se ao vCenter Server usando HTTP/2. No entanto, a autenticação de cartão inteligente requer o uso do protocolo HTTP/1.1. A ativação da autenticação de cartão inteligente desativa a negociação de protocolo de camada de aplicativo (ALPN, https://tools.ietf.org/html/rfc7301) para HTTP/2, impedindo efetivamente que o navegador use HTTP/2. Os aplicativos que usam apenas HTTP/2, sem depender do ALPN, continuam funcionando.

Para concluir a autenticação do cartão inteligente, os clientes devem ter permissão para acessar a porta 3128/TCP no vCenter Server apropriado. Verifique os firewalls do seu perímetro para garantir que o acesso tenha sido concedido.

Procedimento

  1. Faça login no shell vCenter Server como usuário raiz.
  2. Crie um repositório de CA de cliente confiável no vCenter Server usando o caminho exato e o nome PEM, /usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem.
    Aviso: Você deve usar o caminho e o nome PEM exatos, /usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem.
    1. Altere para o diretório /usr/lib/vmware-sso/. 
      cd /usr/lib/vmware-sso/
    2. Para criar o repositório de autoridade de certificação de cliente confiável, execute o comando openssl, usando como entrada seu certificado de assinatura confiável. Por exemplo, o comando a seguir cria o arquivo clienttrustCA.pem do certificado de assinatura confiável xyzCompanySmartCardSigningCA.cer. 
      openssl x509 -inform PEM -in xyzCompanySmartCardSigningCA.cer > /usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem
      Você pode adicionar certificados adicionais ao repositório de autoridade de certificação de cliente confiável executando o comando openssl com o operador ">>" para anexar o certificado adicional. Por exemplo, o comando a seguir anexa xyzCompanySmartCardSigningCA2.cer ao arquivo clienttrustCA.pem existente. 
      openssl x509 -inform PEM -in xyzCompanySmartCardSigningCA2.cer >> /usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem
  3. Para validar se o conteúdo do arquivo clienttrustCA.pem contém as CAs confiáveis que assinaram os certificados de cartão inteligente, execute o comando keytool.
    Por exemplo: 
    keytool -printcert -file /usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem | grep -i "owner\|sha1\|issuer:\|valid"
  4. Verifique se os nomes da CA correspondem à Cadeia de Certificados do Usuário do Cartão Inteligente.
    Por exemplo, você pode executar o seguinte comando. 
    sso-config.sh -get_authn_policy -t vsphere.local | grep trusted
    Os certificados raiz e intermediário devem ter impressões digitais, nomes, datas válidas e assim por diante correspondentes.
    Observação: Você também pode usar a vSphere Client ( Single Sign On > Configuration > Smart Card Configuration > Smart Card Authentication > Trusted Certificados de CA (Trusted CA Certificates)).
  5. Reinicie o serviço STS. 
    service-control --restart sts