Bevor Sie die Smartcard-Authentifizierung aktivieren, müssen Sie den Reverse-Proxy auf dem Platform Services Controller-System konfigurieren. Wenn in Ihrer Umgebung ein eingebetteter Platform Services Controller verwendet wird, führen Sie diese Aufgabe auf dem System aus, auf dem vCenter Server und der Platform Services Controller ausgeführt werden.
Eine Reverse-Proxy-Konfiguration ist in vSphere 6.5 und höher erforderlich.
Voraussetzungen
Kopieren Sie die Zertifikate der Zertifizierungsstelle auf das Platform Services Controller-System.
Prozedur
- Melden Sie sich beim Platform Services Controller an.
| Betriebssystem |
Beschreibung |
| Appliance |
Melden Sie sich bei der Appliance-Shell als Root-Benutzer an. |
| Windows |
Melden Sie sich bei einer Windows-Eingabeaufforderung als Administrator an. |
- Erstellen Sie einen vertrauenswürdigen Client-Zertifizierungsstellenspeicher.
In diesem Speicher werden die Zertifikate der vertrauenswürdigen ausstellenden Zertifizierungsstelle für das Clientzertifikat gespeichert. Der Client ist hierbei der Browser, von dem aus der Smartcard-Prozess den Endbenutzer zur Eingabe von Informationen auffordert.
Im folgenden Beispiel wird verdeutlicht, wie Sie einen Zertifikatspeicher auf der Platform Services Controller-Appliance erstellen.
Für ein einzelnes Zertifikat:
cd /usr/lib/vmware-sso/
openssl x509 -inform PEM -in xyzCompanySmartCardSigningCA.cer > /usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem
Für mehrere Zertifikate:
cd /usr/lib/vmware-sso/
openssl x509 -inform PEM -in xyzCompanySmartCardSigningCA.cer >> /usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem
Hinweis: Bei
Platform Services Controller unter Windows verwenden Sie
C:\ProgramData\VMware\vCenterServer\runtime\VMwareSTSService\conf\ und ändern Sie den Befehl für die Verwendung von Rückwärtsschrägstrichen.
- Erstellen Sie eine Sicherung der Datei config.xml, die die Reverse-Proxy-Definition enthält, und öffnen Sie config.xml in einem Editor.
| Betriebssystem |
Beschreibung |
| Appliance |
/etc/vmware-rhttpproxy/config.xml |
| Windows |
C:\ProgramData\VMware\vCenterServer\cfg\vmware-rhttpproxy\config.xml |
- Nehmen Sie die folgenden Änderungen vor und speichern Sie die Datei.
<http>
<maxConnections> 2048 </maxConnections>
<requestClientCertificate>true</requestClientCertificate>
<clientCertificateMaxSize>4096</clientCertificateMaxSize>
<clientCAListFile>/usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem</clientCAListFile>
</http>
Die Datei
config.xml enthält einige dieser Elemente. Sie können nach Bedarf die Auskommentierung der Elemente aufheben, Elemente aktualisieren oder Elemente hinzufügen.
- Starten Sie den Dienst neu.
| Betriebssystem |
Beschreibung |
| Appliance |
/usr/lib/vmware-vmon/vmon-cli --restart rhttpproxy
|
| Windows |
Starten Sie das Betriebssystem neu oder starten Sie VMware HTTP Reverse Proxy neu, indem Sie die folgenden Schritte ausführen:
- Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten.
- Führen Sie folgende Befehle aus:
cd C:\Program Files\VMware\vCenter Server\bin
service-control --stop vmware-rhttpproxy
service-control --start vmware-rhttpproxy
|
