可以自定义证书吊销检查,并可以指定 vCenter Single Sign-On 查找有关已吊销证书的信息的位置。

关于此任务

通过使用 Platform Services Controller Web 界面或者通过使用 sso-config 脚本,可以自定义行为。所选设置部分取决于 CA 所支持的内容。

  • 如果已禁用吊销检查,则 vCenter Single Sign-On 忽略任何 CRL 或 OCSP 设置。vCenter Single Sign-On 不对任何证书执行检查。

  • 如果已启用吊销检查,则建议的设置取决于 PKI 设置。

    仅 OCSP

    如果发证 CA 支持 OCSP 响应者,则启用 OCSP 并禁用 CRL 作为 OCSP 的故障切换

    仅 CRL

    如果发证 CA 不支持 OSCP,则启用 CRL 检查并禁用 OSCP 检查

    OCSP 和 CRL

    如果发证 CA 同时支持 OCSP 响应者和 CRL,则 vCenter Single Sign-On 首先检查 OCSP 响应者。如果响应者返回未知状态或者不可用,则 vCenter Single Sign-On 将检查 CRL。对于此情况,请同时启用 OCSP 检查CRL 检查,并启用 CRL 作为 OCSP 的故障切换

  • 如果已启用吊销检查,则高级用户可以指定以下其他设置。

    OCSP URL

    默认情况下,vCenter Single Sign-On 检查在被验证的证书中定义的 OCSP 响应者的位置。如果证书中缺少授权信息访问扩展,或者如果要替代它,则可以显式指定一个位置。

    使用证书中的 CRL

    默认情况下,vCenter Single Sign-On 检查在被验证的证书中定义的 CRL 的位置。如果证书中缺少 CRL 分发点扩展或者您要替代默认值,请禁用此选项。

    CRL 位置

    如果禁用使用证书中的 CRL 并且要指定 CRL 所在的位置(文件或 HTTP URL),则使用此属性。

可以通过添加证书策略来进一步限制 vCenter Single Sign-On 接受的证书。

先决条件

  • 验证您的环境是否使用 Platform Services Controller 版本 6.5,以及您是否使用 vCenter Server 版本 6.0 或更高版本。Platform Services Controller 版本 6.0 Update 2 支持智能卡身份验证,但设置过程有所不同。

  • 验证在您的环境中是否设置了企业公钥基础架构 (PKI),以及证书是否满足以下要求:

    • 用户主体名称 (UPN) 必须对应于主体备用名称 (SAN) 扩展名中的 Active Directory 帐户。

    • 必须在证书的“应用程序策略”或“增强型密钥使用”字段中指定“客户端身份验证”,否则浏览器将不显示证书。

  • 确认 Platform Services Controller Web 界面证书受最终用户工作站信任。否则,浏览器不会尝试身份验证。

  • 将 Active Directory 标识源添加到 vCenter Single Sign-On。

  • vCenter Server 管理员角色分配给 Active Directory 标识源中的一个或多个用户。然后,这些用户可执行管理任务,因为他们可以进行身份验证,并且具有 vCenter Server 管理员特权。

    注:

    默认情况下,vCenter Single Sign-On 域的管理员 administrator@vsphere.local 无法执行智能卡身份验证。

过程

  1. 从 Web 浏览器连接到 vSphere Web ClientPlatform Services Controller

    选项

    描述

    vSphere Web Client

    https://vc_hostname_or_IP/vsphere-client

    Platform Services Controller

    https://psc_hostname_or_IP/psc

    在嵌入式部署中,Platform Services Controller 主机名或 IP 地址与 vCenter Server 主机名或 IP 地址相同。

  2. 为 administrator@vsphere.local 或 vCenter Single Sign-On 管理员组的其他成员指定用户名和密码。

    如果在安装时指定了不同的域,请以 administrator@mydomain 身份登录。

  3. 导航到 vCenter Single Sign-On 配置 UI。

    选项

    描述

    vSphere Web Client

    1. 主页菜单中,选择系统管理

    2. Single Sign-On 下,单击配置

    Platform Services Controller

    单击 Single Sign-On,然后单击配置

  4. 单击证书吊销设置并启用或禁用吊销检查。
  5. 如果证书策略在您的环境中是有效的,则可以在已接受的证书策略窗格中添加策略。