可以自定义证书吊销检查,并可以指定 vCenter Single Sign-On 查找有关已吊销证书的信息的位置。

通过使用 vSphere Client或者通过使用sso-config 脚本,可以自定义行为。所选设置部分取决于 CA 所支持的内容。

  • 如果已禁用吊销检查,则 vCenter Single Sign-On 忽略任何 CRL 或 OCSP 设置。vCenter Single Sign-On 不对任何证书执行检查。
  • 如果已启用吊销检查,则设置取决于 PKI 设置。
    仅 OCSP
    如果发证 CA 支持 OCSP 响应者,则启用 OCSP 并禁用 CRL 作为 OCSP 的故障切换
    仅 CRL
    如果发证 CA 不支持 OSCP,则启用 CRL 检查并禁用 OSCP 检查
    OCSP 和 CRL
    如果发证 CA 同时支持 OCSP 响应者和 CRL,则 vCenter Single Sign-On 首先检查 OCSP 响应者。如果响应者返回未知状态或者不可用,则 vCenter Single Sign-On 将检查 CRL。对于此情况,请同时启用 OCSP 检查CRL 检查,并启用 CRL 作为 OCSP 的故障切换
  • 如果已启用吊销检查,则高级用户可以指定以下其他设置。
    OCSP URL
    默认情况下,vCenter Single Sign-On 检查在被验证的证书中定义的 OCSP 响应者的位置。如果该证书不存在 Authority Information Access 扩展名或如果想要替代该扩展名,则可以明确指定一个位置。
    使用证书中的 CRL
    默认情况下,vCenter Single Sign-On 检查在被验证的证书中定义的 CRL 的位置。如果证书中缺少 CRL 分发点扩展或者您要替代默认值,请禁用此选项。
    CRL 位置
    如果禁用 使用证书中的 CRL 并且要指定 CRL 所在的位置(文件或 HTTP URL),则使用此属性。

可以通过添加证书策略来进一步限制 vCenter Single Sign-On 接受的证书。

前提条件

  • 验证在您的环境中是否设置了企业公钥基础架构 (PKI),以及证书是否满足以下要求:
    • 用户主体名称 (UPN) 必须对应于主体备用名称 (SAN) 扩展名中的 Active Directory 帐户。

    • 必须在证书的“应用程序策略”或“扩展密钥用法”字段中指定“客户端身份验证”,否则浏览器将不显示证书。

  • 验证 vCenter Server 证书是否受最终用户工作站信任。否则,浏览器不会尝试身份验证。
  • 将 Active Directory 标识源添加到 vCenter Single Sign-On。
  • vCenter Server管理员角色分配给 Active Directory 标识源中的一个或多个用户。然后,这些用户可执行管理任务,因为他们可以进行身份验证,并且具有 vCenter Server管理员特权。

过程

  1. 使用 vSphere Client登录 vCenter Server
  2. [email protected] 或 vCenter Single Sign-On 管理员组的其他成员指定用户名和密码。
    如果在安装时指定了不同的域,请以 administrator@ mydomain 身份登录。
  3. 导航到配置 UI。
    1. 主页菜单中,选择系统管理
    2. 单点登录下,单击配置
  4. 身份提供程序选项卡下,单击智能卡身份验证
  5. 单击证书吊销,然后单击编辑以启用或禁用吊销检查。
  6. 如果证书策略在您的环境中是有效的,则可以在证书策略窗格中添加策略。