可以自定义证书吊销检查,并可以指定 vCenter Single Sign-On 查找有关已吊销证书的信息的位置。

开始之前

  • 验证您的环境是否使用 Platform Services Controller 版本 6.0 Update 2 或更高版本,以及是否使用 vCenter Server 版本 6.0 或更高版本。将版本 5.5 节点升级到版本 6.0。

  • 验证在您的环境中是否设置了企业公钥基础架构 (PKI),以及证书是否满足以下要求:

    • 用户主体名称 (UPN) 对应于使用者备用名称 (SAN) 扩展名中的 Active Directory 帐户。

    • 必须在证书的“应用程序策略”或“增强型密钥用法”字段中指定客户端身份验证,否则浏览器将不显示该证书。

  • 验证 Platform Services Controller Web 界面证书是否受最终用户工作站信任;否则,浏览器不会尝试身份验证。

  • 配置 Active Directory 标识源,并将其作为标识源添加到 vCenter Single Sign-On。

  • vCenter Server 管理员角色分配给 Active Directory 标识源中的一个或多个用户。然后那些用户可以进行身份验证,因为他们在 Active Directory 组中,并且具有 vCenter Server 管理员特权。administrator@vsphere.local 用户无法执行智能卡身份验证。

  • 如果要在您的环境中使用 Platform Services Controller HA 解决方案,请在设置智能卡身份验证之前完成所有的 HA 配置。请参见 VMware 知识库文章 2113085 (Windows) 或 2113315 (vCenter Server Appliance)。

关于此任务

通过使用 Platform Services Controller Web 界面或者通过使用 sso-config 脚本,可以自定义行为。所选设置部分取决于 CA 所支持的内容。

  • 如果已禁用吊销检查,则 vCenter Single Sign-On 忽略任何 CRL 或 OCSP 设置。

  • 如果已启用吊销检查,则建议的设置取决于 PKI 设置。

    仅 OCSP

    如果发证 CA 支持 OCSP 响应者,则启用 OCSP 并禁止使用 CRL 进行故障切换。

    仅 CRL

    如果发证 CA 不支持 OCSP,则启用 CRL 检查并禁用 OCSP 检查。

    OCSP 和 CRL

    如果发证 CA 同时支持 OCSP 响应者和 CRL,则 vCenter Single Sign-On 首先检查 OCSP 响应者。如果响应者返回未知状态或者不可用,则 vCenter Single Sign-On 将检查 CRL。对于此情况,请同时启用 OCSP 检查和 CRL 检查,并启用 CRL 作为 OCSP 的故障切换。

  • 如果已启用吊销检查,则高级用户可以指定以下其他设置。

    OCSP URL

    默认情况下,vCenter Single Sign-On 检查在被验证的证书中定义的 OCSP 响应者的位置。如果证书中缺少授权信息访问扩展,或者如果要替代它(例如,因为它在您的环境中不可用),则可以显式指定一个位置。

    使用证书中的 CRL

    默认情况下,vCenter Single Sign-On 检查在被验证的证书中定义的 CRL 的位置。证书中缺少 CRL 分发点扩展或者您要替代默认值时,请禁用此选项。

    CRL 位置

    如果禁用使用证书中的 CRL 并且要指定 CRL 所在的位置(文件或 HTTP URL),则使用此属性。

此外,可以通过添加证书策略来进一步限制 vCenter Single Sign-On 接受的证书。

过程

  1. 在 Web 浏览器中,通过指定以下 URL 连接到 Platform Services Controller

    https://psc_hostname_or_IP/psc

    在嵌入式部署中,Platform Services Controller 主机名或 IP 地址与 vCenter Server 主机名或 IP 地址相同。

  2. 为 administrator@vsphere.local 或 vCenter Single Sign-On 管理员组的其他成员指定用户名和密码。

    如果在安装时指定了不同的域,请以 administrator@mydomain 身份登录。

  3. 浏览到 Single Sign-On > 配置
  4. 单击证书吊销设置并启用或禁用吊销检查。
  5. 如果证书策略在您的环境中是有效的,则可以在已接受的证书策略窗格中添加策略。