Sie können die Überprüfung des Zertifikatswiderrufs anpassen und angeben, wo vCenter Single Sign-On nach Informationen zu widerrufenen Zertifikaten suchen soll.

Vorbereitungen

  • Stellen Sie sicher, dass Ihre Umgebung Platform Services Controller Version 6.0 Update 2 oder höher verwendet und Sie vCenter Server Version 6.0 oder höher verwenden. Führen Sie bei Knoten der Version 5.5 ein Upgrade auf Version 6.0 durch.

  • Stellen Sie sicher, dass in Ihrer Umgebung ein Unternehmens-PKI-Schlüssel (Public Key Infrastructure) eingerichtet ist und die Zertifikate die folgenden Anforderungen erfüllen:

    • Ein Benutzerprinzipalname (User Principal Name, UPN), der einem Active Directory-Konto in der Erweiterung „Alternativname für Betreff“ (SAN) entspricht.

    • Die Client-Authentifizierung muss im Feld „Anwendungsrichtlinie“ oder „Erweiterte Schlüsselnutzung“ eines Zertifikats angegeben werden, da dieses Zertifikat andernfalls im Browser nicht angezeigt wird.

  • Stellen Sie sicher, dass das Zertifikat der Platform Services Controller-Webschnittstelle für die Workstation des Endbenutzers vertrauenswürdig ist, da der Browser andernfalls keinen Versuch zur Authentifizierung unternimmt.

  • Konfigurieren Sie eine Active Directory-Identitätsquelle und fügen Sie diese zu vCenter Single Sign-On als Identitätsquelle hinzu.

  • Weisen Sie die vCenter Server-Administratorrolle einem oder mehreren Benutzern in der Active Directory-Identitätsquelle zu. Diese Benutzer können sich dann authentifizieren, da sie sich in der Active Directory-Gruppe befinden, und sie verfügen über vCenter Server-Administratorrechte. Der Benutzer „administrator@vsphere.local“ kann keine Smartcard-Authentifizierung ausführen.

  • Wenn Ihre Umgebung über die HA-Lösung des Platform Services Controller verfügen soll, schließen Sie die gesamte HA-Konfiguration ab, bevor Sie die Smartcard-Authentifizierung einrichten. Weitere Informationen finden Sie im VMware-Knowledgebase-Artikel 2113085 (Windows) oder 2113315 (vCenter Server Appliance).

Warum und wann dieser Vorgang ausgeführt wird

Sie können das Verhalten mithilfe der Platform Services Controller-Webschnittstelle oder mithilfe des Skripts sso-config anpassen. Die auszuwählenden Einstellungen hängen teilweise von der Unterstützung der Zertifizierungsstelle ab.

  • Wenn die Überprüfung des Widerrufs deaktiviert ist, ignoriert vCenter Single Sign-On alle Einstellungen für die Zertifikatswiderrufsliste (Certificate Revocation List, CRL) oder das Onlinestatusprotokoll des Zertifikats (Online Certificate Status Protocol, OCSP).

  • Wenn die Überprüfung des Widerrufs aktiviert ist, hängt das empfohlene Setup vom PKI-Setup ab.

    Nur OCSP

    Wenn die ausstellende Zertifizierungsstelle einen OCSP-Responder unterstützt, aktivieren Sie OCSP und deaktivieren Sie die Verwendung von CRL als Failover.

    Nur CRL

    Wenn die ausstellende Zertifizierungsstelle OCSP nicht unterstützt, aktivieren Sie die CRL-Überprüfung und aktivieren Sie die OSCP-Überprüfung.

    OSCP und CRL

    Wenn die ausstellende Zertifizierungsstelle sowohl einen OCSP-Responder als auch CRL unterstützt, überprüft vCenter Single Sign-On zuerst den OCSP-Responder. Wenn der Responder einen unbekannten Status zurückgibt oder nicht verfügbar ist, überprüft vCenter Single Sign-On die CRL. Aktivieren Sie in diesem Fall sowohl die OCSP-Überprüfung als auch die CRL-Überprüfung und aktivieren Sie CRL als Failover für OCSP.

  • Wenn die Überprüfung des Widerrufs aktiviert ist, können fortgeschrittene Benutzer die folgenden zusätzlichen Einstellungen angeben.

    OSCP-URL

    vCenter Single Sign-On überprüft standardmäßig den Speicherort des OCSP-Responders, der im validierten Zertifikat definiert ist. Sie können ausdrücklich einen Speicherort angeben, wenn im Zertifikat die Erweiterung „Zugriff auf Stelleninformationen“ nicht vorhanden ist oder Sie diese überschreiben möchten, da sie z. B. in Ihrer Umgebung nicht verfügbar ist.

    CRL aus Zertifikat verwenden

    vCenter Single Sign-On überprüft standardmäßig den Speicherort der CRL, die im validierten Zertifikat definiert ist. Deaktivieren Sie diese Option, wenn im Zertifikat die Erweiterung „CRL-Verteilungspunkt“ nicht vorhanden ist oder Sie den Standard überschreiben möchten.

    CRL-Speicherort

    Verwenden Sie diese Eigenschaft, wenn Sie CRL aus Zertifikat verwenden deaktivieren und einen Speicherort angeben möchten (Datei oder HTTP-URL), an dem die CRL gespeichert wird.

Zudem können Sie durch das Hinzufügen einer Zertifikatsrichtlinie weiter einschränken, welche Zertifikate von vCenter Single Sign-On akzeptiert werden sollen.

Prozedur

  1. Stellen Sie über einen Browser eine Verbindung zum Platform Services Controller her, indem Sie folgende URL eingeben:

    https://psc_hostname_or_IP/psc

    In einer eingebetteten Bereitstellung ist der Hostname oder die IP-Adresse von Platform Services Controller identisch mit dem Hostnamen oder der IP-Adresse von vCenter Server.

  2. Geben Sie den Benutzernamen und das Kennwort für „administrator@vsphere.local“ oder für ein anderes Mitglied der Administratorengruppe von vCenter Single Sign-On an.

    Falls Sie eine andere Domäne während der Installation angegeben haben, melden Sie sich als administrator@meinedomäne an.

  3. Navigieren Sie zu Single Sign-On > Konfiguration.
  4. Klicken Sie auf Einstellungen des Zertifikatswiderrufs und aktivieren bzw. deaktivieren Sie die Überprüfung des Widerrufs.
  5. Falls in Ihrer Umgebung Zertifikatsrichtlinien gelten, können Sie im Bereich Von Zertifikatsrichtlinien akzeptiert eine Richtlinie hinzufügen.