可以自定义证书吊销检查,并可以指定 vCenter Single Sign-On 查找有关已吊销证书的信息的位置。
通过使用 vSphere Client或者通过使用sso-config 脚本,可以自定义行为。所选设置部分取决于 CA 所支持的内容。
- 如果已禁用吊销检查,则 vCenter Single Sign-On 忽略任何 CRL 或 OCSP 设置。vCenter Single Sign-On 不对任何证书执行检查。
- 如果已启用吊销检查,则建议的设置取决于 PKI 设置。
- 如果已启用吊销检查,则高级用户可以指定以下其他设置。
可以通过添加证书策略来进一步限制 vCenter Single Sign-On 接受的证书。
前提条件
- 验证您的环境是否使用 Platform Services Controller6.5 或更高版本,以及您是否使用vCenter Server 版本 6.0 或更高版本。Platform Services Controller版本 6.0 Update 2 支持智能卡身份验证,但设置过程有所不同。
- 验证在您的环境中是否设置了企业公钥基础架构 (PKI),以及证书是否满足以下要求:
- 用户主体名称 (UPN) 必须对应于主体备用名称 (SAN) 扩展名中的 Active Directory 帐户。
必须在证书的“应用程序策略”或“增强型密钥使用”字段中指定“客户端身份验证”,否则浏览器将不显示证书。
- 验证Platform Services Controller证书是否受最终用户工作站信任。否则,浏览器不会尝试身份验证。
- 将 Active Directory 标识源添加到 vCenter Single Sign-On。
- 将vCenter Server管理员角色分配给 Active Directory 标识源中的一个或多个用户。然后,这些用户可执行管理任务,因为他们可以进行身份验证,并且具有 vCenter Server管理员特权。
注: 默认情况下,vCenter Single Sign-On 域的管理员 [email protected] 无法执行智能卡身份验证。