Bevor Sie die Smartcard-Authentifizierung aktivieren, müssen Sie den Reverse-Proxy auf dem Platform Services Controller-System konfigurieren. Wenn in Ihrer Umgebung ein eingebetteter Platform Services Controller verwendet wird, führen Sie diese Aufgabe auf dem System aus, auf dem vCenter Server und der Platform Services Controller ausgeführt werden.

Warum und wann dieser Vorgang ausgeführt wird

Eine Reverse-Proxy-Konfiguration ist in vSphere 6.5 und höher erforderlich.

Voraussetzungen

Kopieren Sie die Zertifikate der Zertifizierungsstelle auf das Platform Services Controller-System.

Prozedur

  1. Melden Sie sich beim Platform Services Controller an.

    Betriebssystem

    Beschreibung

    Appliance

    Melden Sie sich bei der Appliance-Shell als Root-Benutzer an.

    Windows

    Melden Sie sich bei einer Windows-Eingabeaufforderung als Administrator an.

  2. Erstellen Sie einen vertrauenswürdigen Client-Zertifizierungsstellenspeicher.

    In diesem Speicher werden die Zertifikate der vertrauenswürdigen ausstellenden Zertifizierungsstelle für das Clientzertifikat gespeichert. Der Client ist hierbei der Browser, von dem aus der Smartcard-Prozess den Endbenutzer zur Eingabe von Informationen auffordert.

    Im folgenden Beispiel wird verdeutlicht, wie Sie einen Zertifikatspeicher auf der Platform Services Controller-Appliance erstellen.

    Für ein einzelnes Zertifikat:

    cd /usr/lib/vmware-sso/
    openssl x509 -inform PEM -in xyzCompanySmartCardSigningCA.cer > /usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem

    Für mehrere Zertifikate:

    cd /usr/lib/vmware-sso/
    openssl x509 -inform PEM -in xyzCompanySmartCardSigningCA.cer >> /usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem
    Anmerkung:

    Bei Platform Services Controller unter Windows verwenden Sie C:\ProgramData\VMware\vCenterServer\runtime\VMwareSTSService\conf\ und ändern Sie den Befehl für die Verwendung von Rückwärtsschrägstrichen.

  3. Erstellen Sie eine Sicherung der Datei config.xml, die die Reverse-Proxy-Definition enthält, und öffnen Sie config.xml in einem Editor.

    Betriebssystem

    Beschreibung

    Appliance

    /etc/vmware-rhttpproxy/config.xml

    Windows

    C:\ProgramData\VMware\vCenterServer\cfg\vmware-rhttpproxy\config.xml

  4. Nehmen Sie die folgenden Änderungen vor und speichern Sie die Datei.
    <http>
    <maxConnections> 2048 </maxConnections>
    <requestClientCertificate>true</requestClientCertificate>
    <clientCertificateMaxSize>4096</clientCertificateMaxSize>
    <clientCAListFile>/usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem</clientCAListFile>
    </http>

    Die Datei config.xml enthält einige dieser Elemente. Sie können nach Bedarf die Auskommentierung der Elemente aufheben, Elemente aktualisieren oder Elemente hinzufügen.

  5. Starten Sie den Dienst neu.

    Betriebssystem

    Beschreibung

    Appliance

    /usr/lib/vmware-vmon/vmon-cli --restart rhttpproxy
    

    Windows

    Starten Sie das Betriebssystem neu oder starten Sie VMware HTTP Reverse Proxy über den Service Manager neu.