Você pode personalizar a verificação de revogação de certificado e pode especificar onde vCenter Single Sign-On procura informações sobre certificados revogados.

Você pode personalizar o comportamento usando o script vSphere Client ou sso-config. As configurações selecionadas dependem, em parte, do que a CA oferece suporte.

  • Se a verificação de revogação estiver desativada, vCenter Single Sign-On ignorará quaisquer configurações de CRL ou OCSP. vCenter Single Sign-On não realiza verificações em nenhum certificado.
  • Se a verificação de revogação estiver ativada, a configuração dependerá da configuração da PKI.
    Somente OCSP
    Se a autoridade de certificação emissora oferecer suporte a um respondedor OCSP, ative o OCSP e desative a CRL como failover para OCSP (CRL as failover for OCSP).
    Somente CRL
    Se a autoridade de certificação emissora não oferecer suporte a OSCP, ative a verificação de CRL (CRL checking) e desative a verificação de OSCP (OSCP checking).
    Ambos OSCP e CRL
    Se a CA emissora oferecer suporte a um respondente OCSP e a uma CRL, o vCenter Single Sign-On verificará primeiro o respondedor OCSP. Se o respondente retornar um status desconhecido ou não estiver disponível, vCenter Single Sign-On verificará a CRL. Para esse caso, ative a verificação de OCSP (OCSP checking) e a verificação de CRL (CRL checking) e ative a CRL como failover para OCSP (CRL as failover for OCSP).
  • Se a verificação de revogação estiver ativada, os usuários avançados poderão especificar as seguintes configurações adicionais.
    URL do OSCP
    Por padrão, vCenter Single Sign-On verifica a localização do respondente do OCSP definido no certificado que está sendo validado. Se a extensão do Authority Information Access estiver ausente do certificado ou se você quiser substituí-la, você poderá especificar explicitamente um local.
    Usar a CRL do certificado
    Por padrão, vCenter Single Sign-On verifica a localização da CRL definida no certificado que está sendo validado. Desative essa opção se a extensão do Ponto de Distribuição da CRL estiver ausente do certificado ou se você quiser substituir o padrão.
    Localização da CRL
    Use essa propriedade se você desativar Usar CRL do certificado (Use CRL from certificate) e quiser especificar um local (arquivo ou URL HTTP) onde a CRL está localizada.

Você pode limitar ainda mais quais certificados vCenter Single Sign-On aceita adicionando uma política de certificado.

Pré-requisitos

  • Verifique se uma Infraestrutura de Chave Pública (PKI) corporativa está configurada em seu ambiente e se os certificados atendem aos seguintes requisitos:
    • Um User Principal Name (UPN) deve corresponder a uma conta Active Directory no ramal Subject Alternative Name (SAN).

    • O certificado deve especificar a Autenticação do Cliente no campo Política do Aplicativo ou Uso Estendido da Chave ou o navegador não mostrará o certificado.

  • Verifique se o certificado vCenter Server é confiável para a estação de trabalho do usuário final. Caso contrário, o navegador não tentará a autenticação.
  • Adicione uma origem de identidade Active Directory a vCenter Single Sign-On.
  • Atribua a função de Administrador vCenter Server a um ou mais usuários na origem de identidade Active Directory. Esses usuários podem executar tarefas de gerenciamento porque podem autenticar e têm vCenter Server privilégios de administrador.

Procedimento

  1. Faça login com o vSphere Client no vCenter Server.
  2. Especifique o nome de usuário e a senha para [email protected] ou outro membro do grupo vCenter Single Sign-On Administradores.
    Se você especificou um domínio diferente durante a instalação, faça login como administrador@ meudomínio.
  3. Navegue até a interface do usuário de configuração.
    1. No menu Início (Home), selecione Administração (Administration).
    2. Em Single Sign On, clique em Configuração (Configuration).
  4. Na guia Provedor de identidade, clique em Autenticação de cartão inteligente (Smart Card Authentication).
  5. Clique em Revogação de certificado (Certificate revocation) e clique em Editar (Edit) para ativar ou desativar a verificação de revogação.
  6. Se as políticas de certificado estiverem em vigor em seu ambiente, você poderá adicionar uma política no painel Políticas de certificado (Certificate policies).