设置智能卡身份验证的吊销策略

可以自定义证书吊销检查，并可以指定 vCenter Single Sign-On 查找有关已吊销证书的信息的位置。

通过使用 Platform Services ControllerWeb 界面或者通过使用sso-config 脚本，可以自定义行为。所选设置部分取决于 CA 所支持的内容。

如果已禁用吊销检查，则 vCenter Single Sign-On 忽略任何 CRL 或 OCSP 设置。vCenter Single Sign-On 不对任何证书执行检查。
如果已启用吊销检查，则建议的设置取决于 PKI 设置。

仅 OCSP

如果发证 CA 支持 OCSP 响应者，则启用 OCSP 并禁用 CRL 作为 OCSP 的故障切换。

仅 CRL

如果发证 CA 不支持 OSCP，则启用 CRL 检查并禁用 OSCP 检查。

OCSP 和 CRL

如果发证 CA 同时支持 OCSP 响应者和 CRL，则 vCenter Single Sign-On 首先检查 OCSP 响应者。如果响应者返回未知状态或者不可用，则 vCenter Single Sign-On 将检查 CRL。对于此情况，请同时启用 OCSP 检查和 CRL 检查，并启用 CRL 作为 OCSP 的故障切换。
如果已启用吊销检查，则高级用户可以指定以下其他设置。

OCSP URL

默认情况下，vCenter Single Sign-On 检查在被验证的证书中定义的 OCSP 响应者的位置。如果证书中缺少授权信息访问扩展，或者如果要替代它，则可以显式指定一个位置。

使用证书中的 CRL

默认情况下，vCenter Single Sign-On 检查在被验证的证书中定义的 CRL 的位置。如果证书中缺少 CRL 分发点扩展或者您要替代默认值，请禁用此选项。

CRL 位置

如果禁用使用证书中的 CRL 并且要指定 CRL 所在的位置（文件或 HTTP URL），则使用此属性。

可以通过添加证书策略来进一步限制 vCenter Single Sign-On 接受的证书。

前提条件

验证您的环境是否使用 Platform Services Controller 版本 6.5，以及您是否使用 vCenter Server 版本 6.0 或更高版本。Platform Services Controller 版本 6.0 Update 2 支持智能卡身份验证，但设置过程有所不同。
验证在您的环境中是否设置了企业公钥基础架构 (PKI)，以及证书是否满足以下要求：
- 用户主体名称 (UPN) 必须对应于主体备用名称 (SAN) 扩展名中的 Active Directory 帐户。
- 必须在证书的“应用程序策略”或“增强型密钥使用”字段中指定“客户端身份验证”，否则浏览器将不显示证书。
确认 Platform Services Controller Web 界面证书受最终用户工作站信任。否则，浏览器不会尝试身份验证。
将 Active Directory 标识源添加到 vCenter Single Sign-On。
将 vCenter Server 管理员角色分配给 Active Directory 标识源中的一个或多个用户。然后，这些用户可执行管理任务，因为他们可以进行身份验证，并且具有 vCenter Server 管理员特权。
注：默认情况下，vCenter Single Sign-On 域的管理员 [email protected] 无法执行智能卡身份验证。

从 Web 浏览器连接到 vSphere Client或 Platform Services Controller。

选项	描述
vSphere Client	`https://vc_hostname_or_IP/ui`
Platform Services Controller	`https://psc_hostname_or_IP/psc` 在嵌入式部署中，Platform Services Controller主机名或 IP 地址与 vCenter Server 主机名或 IP 地址相同。

为 [email protected] 或 vCenter Single Sign-On 管理员组的其他成员指定用户名和密码。
如果在安装时指定了不同的域，请以 administrator@ mydomain 身份登录。

导航到 vCenter Single Sign-On 配置 UI。

选项	描述
vSphere Client	在主页菜单中，选择系统管理。在 Single Sign-On 下，单击配置。
Platform Services Controller	单击 Single Sign-On，然后单击配置。