Sie können die Überprüfung des Zertifikatswiderrufs anpassen und angeben, wo vCenter Single Sign-On nach Informationen über widerrufene Zertifikate suchen soll.

Warum und wann dieser Vorgang ausgeführt wird

Sie können das Verhalten mithilfe der Platform Services Controller-Webschnittstelle oder mithilfe des Skripts sso-config anpassen. Die auszuwählenden Einstellungen hängen teilweise von der Unterstützung der Zertifizierungsstelle ab.

  • Wenn die Überprüfung des Widerrufs deaktiviert ist, ignoriert vCenter Single Sign-On alle Einstellungen für die Zertifikatswiderrufsliste (Certificate Revocation List, CRL) oder das Onlinestatusprotokoll des Zertifikats (Online Certificate Status Protocol, OCSP). vCenter Single Sign-On führt keine Zertifikatüberprüfungen durch.

  • Wenn die Überprüfung des Widerrufs aktiviert ist, hängt das empfohlene Setup vom PKI-Setup ab.

    Nur OCSP

    Wenn die ausstellende Zertifizierungsstelle einen OCSP-Responder unterstützt, aktivieren Sie OCSP und deaktivieren Sie CRL als Failover für OCSP.

    Nur CRL

    Wenn die ausstellende Zertifizierungsstelle OCSP nicht unterstützt, aktivieren Sie die CRL-Überprüfung und deaktivieren Sie die OSCP-Überprüfung.

    OSCP und CRL

    Wenn die ausstellende Zertifizierungsstelle sowohl einen OCSP-Responder als auch CRL unterstützt, überprüft vCenter Single Sign-On zuerst den OCSP-Responder. Wenn der Responder einen unbekannten Status zurückgibt oder nicht verfügbar ist, überprüft vCenter Single Sign-On die CRL. Aktivieren Sie in diesem Fall sowohl die OCSP-Überprüfung als auch die CRL-Überprüfung und aktivieren Sie CRL als Failover für OCSP.

  • Wenn die Überprüfung des Widerrufs aktiviert ist, können fortgeschrittene Benutzer die folgenden zusätzlichen Einstellungen angeben.

    OSCP-URL

    vCenter Single Sign-On überprüft standardmäßig den Speicherort des OCSP-Responders, der im validierten Zertifikat definiert ist. Sie können explizit einen Speicherort angeben, wenn die Erweiterung „Zugriff auf Zertifizierungsstelleninfos“ im Zertifikat nicht vorhanden ist oder Sie sie überschreiben möchten.

    CRL aus Zertifikat verwenden

    vCenter Single Sign-On überprüft standardmäßig den Speicherort der CRL, die im validierten Zertifikat definiert ist. Deaktivieren Sie diese Option, wenn im Zertifikat die Erweiterung „CRL-Verteilungspunkt“ nicht vorhanden ist oder Sie den Standard überschreiben möchten.

    CRL-Speicherort

    Verwenden Sie diese Eigenschaft, wenn Sie CRL aus Zertifikat verwenden deaktivieren und einen Speicherort angeben möchten (Datei oder HTTP-URL), an dem die CRL gespeichert wird.

Sie können durch das Hinzufügen einer Zertifikatsrichtlinie weiter einschränken, welche Zertifikate von vCenter Single Sign-On akzeptiert werden sollen.

Voraussetzungen

  • Stellen Sie sicher, dass in Ihrer Umgebung Platform Services Controller Version 6.5 verwendet wird und dass Sie vCenter Server Version 6.0 oder höher verwenden. Platform Services Controller Version 6.0 Update 2 unterstützt die Smartcard-Authentifizierung, das Installationsverfahren ist aber unterschiedlich.

  • Stellen Sie sicher, dass in Ihrer Umgebung ein Unternehmens-PKI-Schlüssel (Public Key Infrastructure) eingerichtet ist und die Zertifikate die folgenden Anforderungen erfüllen:

    • Ein Benutzerprinzipalname (User Principal Name, UPN) muss einem Active Directory-Konto in der Erweiterung „Alternativname für Betreff“ (SAN) entsprechen.

    • Im Zertifikat muss im Feld „Anwendungsrichtlinie“ oder „Erweiterte Schlüsselverwendung“ der Eintrag „Clientauthentifizierung“ angegeben sein, anderenfalls zeigt der Browser das Zertifikat nicht an.

  • Stellen Sie sicher, dass das Zertifikat der Platform Services Controller-Webschnittstelle für die Workstation des Endbenutzers vertrauenswürdig ist. Anderenfalls unternimmt der Browser keinen Versuch zur Authentifizierung.

  • Fügen Sie eine Active Directory-Identitätsquelle zu vCenter Single Sign-On hinzu.

  • Weisen Sie die vCenter Server-Administratorrolle einem oder mehreren Benutzern in der Active Directory-Identitätsquelle zu. Diese Benutzer können nun Verwaltungsaufgaben durchführen, da sie berechtigt sind, sich zu authentifizieren und über Administratorrechte für vCenter Server verfügen.

    Anmerkung:

    Der Administrator der vCenter Single Sign-On-Domäne, standardmäßig „administrator@vsphere.local“, kann keine Smartcard-Authentifizierung durchführen.

Prozedur

  1. Stellen Sie von einem Webbrowser aus eine Verbindung zum vSphere Web Client oder zum Platform Services Controller her.

    Option

    Beschreibung

    vSphere Web Client

    https://vc_hostname_or_IP/vsphere-client

    Platform Services Controller

    https://psc_hostname_or_IP/psc

    In einer eingebetteten Bereitstellung ist der Hostname oder die IP-Adresse von Platform Services Controller identisch mit dem Hostnamen oder der IP-Adresse von vCenter Server.

  2. Geben Sie den Benutzernamen und das Kennwort für „administrator@vsphere.local“ oder für ein anderes Mitglied der Administratorengruppe von vCenter Single Sign-On an.

    Falls Sie eine andere Domäne während der Installation angegeben haben, melden Sie sich als administrator@meinedomäne an.

  3. Navigieren Sie zur Benutzeroberfläche für die vCenter Single Sign-On-Konfiguration.

    Option

    Beschreibung

    vSphere Web Client

    1. Wählen Sie im Menü Home die Option Verwaltung aus.

    2. Klicken Sie unter Single Sign-On auf Konfiguration.

    Platform Services Controller

    Klicken Sie auf Single Sign-On und dann auf Konfiguration.

  4. Klicken Sie auf Einstellungen des Zertifikatswiderrufs und aktivieren bzw. deaktivieren Sie die Überprüfung des Widerrufs.
  5. Falls in Ihrer Umgebung Zertifikatsrichtlinien gelten, können Sie im Bereich Von Zertifikatsrichtlinien akzeptiert eine Richtlinie hinzufügen.