在启用智能卡身份验证之前,您需要在Platform Services Controller系统上配置反向代理。如果您的环境使用嵌入式 Platform Services Controller,需在同时运行 vCenter Server 和 Platform Services Controller 的系统上执行此项任务。
vSphere 6.5 及更高版本需要配置反向代理。
前提条件
将 CA 证书复制到 Platform Services Controller系统。
过程
- 登录到 Platform Services Controller。
| 操作系统 |
描述 |
| Appliance |
以 root 用户身份登录设备 shell。 |
| Windows |
以管理员用户身份登录 Windows 命令提示符。 |
- 创建可信客户端 CA 存储。
该存储将包含可信发证 CA 的客户端证书。此处的客户端是在智能卡过程中用于提示最终用户提供信息的浏览器。
以下示例显示了如何在 Platform Services Controller设备上创建证书存储。
对于单一证书:
cd /usr/lib/vmware-sso/
openssl x509 -inform PEM -in xyzCompanySmartCardSigningCA.cer > /usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem
对于多个证书:
cd /usr/lib/vmware-sso/
openssl x509 -inform PEM -in xyzCompanySmartCardSigningCA.cer >> /usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem
注: 在 Windows 上的
Platform Services Controller上,使用
C:\ProgramData\VMware\vCenterServer\runtime\VMwareSTSService\conf\ 并将命令更改为使用反斜杠。
- 备份包含反向代理定义的 config.xml 文件,然后在编辑器中打开 config.xml。
| 操作系统 |
描述 |
| Appliance |
/etc/vmware-rhttpproxy/config.xml |
| Windows |
C:\ProgramData\VMware\vCenterServer\cfg\vmware-rhttpproxy\config.xml |
- 按如下所示进行更改,然后保存文件。
<http>
<maxConnections> 2048 </maxConnections>
<requestClientCertificate>true</requestClientCertificate>
<clientCertificateMaxSize>4096</clientCertificateMaxSize>
<clientCAListFile>/usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem</clientCAListFile>
</http>
config.xml 文件包含其中一些元素。根据需要取消注释、更新或添加元素。
- 重新启动服务。
| 操作系统 |
描述 |
| Appliance |
/usr/lib/vmware-vmon/vmon-cli --restart rhttpproxy
|
| Windows |
重新启动操作系统,或通过执行以下步骤重新启动 VMware HTTP Reverse Proxy:
- 打开权限提升的命令提示符。
- 运行以下命令:
cd C:\Program Files\VMware\vCenter Server\bin
service-control --stop vmware-rhttpproxy
service-control --start vmware-rhttpproxy
|
