在启用智能卡身份验证之前,您需要在 Platform Services Controller 系统上配置反向代理。如果您的环境使用嵌入式 Platform Services Controller,需在同时运行 vCenter ServerPlatform Services Controller 的系统上执行此项任务。

关于此任务

vSphere 6.5 及更高版本需要配置反向代理。

先决条件

将 CA 证书复制到 Platform Services Controller 系统。

过程

  1. 登录到 Platform Services Controller

    操作系统

    描述

    Appliance

    以 root 用户身份登录设备 shell。

    Windows

    以管理员用户身份登录 Windows 命令提示符。

  2. 创建可信客户端 CA 存储。

    该存储将包含可信发证 CA 的客户端证书。此处的客户端是在智能卡过程中用于提示最终用户提供信息的浏览器。

    以下示例显示了如何在 Platform Services Controller 设备上创建证书存储。

    对于单一证书:

    cd /usr/lib/vmware-sso/
    openssl x509 -inform PEM -in xyzCompanySmartCardSigningCA.cer > /usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem

    对于多个证书:

    cd /usr/lib/vmware-sso/
    openssl x509 -inform PEM -in xyzCompanySmartCardSigningCA.cer >> /usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem
    注:

    在 Windows 上的 Platform Services Controller 上,使用 C:\ProgramData\VMware\vCenterServer\runtime\VMwareSTSService\conf\ 并将命令更改为使用反斜杠。

  3. 备份包含反向代理定义的 config.xml 文件,然后在编辑器中打开 config.xml

    操作系统

    描述

    Appliance

    /etc/vmware-rhttpproxy/config.xml

    Windows

    C:\ProgramData\VMware\vCenterServer\cfg\vmware-rhttpproxy\config.xml

  4. 按如下所示进行更改,然后保存文件。
    <http>
    <maxConnections> 2048 </maxConnections>
    <requestClientCertificate>true</requestClientCertificate>
    <clientCertificateMaxSize>4096</clientCertificateMaxSize>
    <clientCAListFile>/usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem</clientCAListFile>
    </http>

    config.xml 文件包含其中一些元素。根据需要取消注释、更新或添加元素。

  5. 重新启动服务。

    操作系统

    描述

    Appliance

    /usr/lib/vmware-vmon/vmon-cli --restart rhttpproxy
    

    Windows

    重新启动操作系统,或从 Service Manager 重新启动 VMware HTTP Reverse Proxy。