Sie können die Überprüfung des Zertifikatswiderrufs anpassen und angeben, wo vCenter Single Sign-On nach Informationen über widerrufene Zertifikate suchen soll.

Sie können das Verhalten mithilfe des vSphere Client oder mithilfe des Skripts sso-config anpassen. Die auszuwählenden Einstellungen hängen teilweise von der Unterstützung der Zertifizierungsstelle ab.

  • Wenn die Überprüfung des Widerrufs deaktiviert ist, ignoriert vCenter Single Sign-On alle Einstellungen für die Zertifikatswiderrufsliste (Certificate Revocation List, CRL) oder das Onlinestatusprotokoll des Zertifikats (Online Certificate Status Protocol, OCSP). vCenter Single Sign-On führt keine Zertifikatüberprüfungen durch.
  • Wenn die Überprüfung des Widerrufs aktiviert ist, hängt das empfohlene Setup vom PKI-Setup ab.
    Nur OCSP
    Wenn die ausstellende Zertifizierungsstelle einen OCSP-Responder unterstützt, aktivieren Sie OCSP und deaktivieren Sie CRL als Failover für OCSP.
    Nur CRL
    Wenn die ausstellende Zertifizierungsstelle OCSP nicht unterstützt, aktivieren Sie die CRL-Überprüfung und deaktivieren Sie die OSCP-Überprüfung.
    OSCP und CRL
    Wenn die ausstellende Zertifizierungsstelle sowohl einen OCSP-Responder als auch CRL unterstützt, überprüft vCenter Single Sign-On zuerst den OCSP-Responder. Wenn der Responder einen unbekannten Status zurückgibt oder nicht verfügbar ist, überprüft vCenter Single Sign-On die CRL. Aktivieren Sie in diesem Fall sowohl die OCSP-Überprüfung als auch die CRL-Überprüfung und aktivieren Sie CRL als Failover für OCSP.
  • Wenn die Überprüfung des Widerrufs aktiviert ist, können fortgeschrittene Benutzer die folgenden zusätzlichen Einstellungen angeben.
    OSCP-URL
    vCenter Single Sign-On überprüft standardmäßig den Speicherort des OCSP-Responders, der im validierten Zertifikat definiert ist. Wenn die Erweiterung „Zugriff auf Zertifizierungsstelleninfos“ im Zertifikat nicht vorhanden ist oder Sie sie überschreiben möchten, können Sie explizit einen Speicherort angeben.
    CRL aus Zertifikat verwenden
    vCenter Single Sign-On überprüft standardmäßig den Speicherort der CRL, die im validierten Zertifikat definiert ist. Deaktivieren Sie diese Option, wenn im Zertifikat die Erweiterung „CRL-Verteilungspunkt“ nicht vorhanden ist oder Sie den Standard überschreiben möchten.
    CRL-Speicherort
    Verwenden Sie diese Eigenschaft, wenn Sie CRL aus Zertifikat verwenden deaktivieren und einen Speicherort angeben möchten (Datei oder HTTP-URL), an dem die CRL gespeichert wird.

Sie können durch das Hinzufügen einer Zertifikatsrichtlinie weiter einschränken, welche Zertifikate von vCenter Single Sign-On akzeptiert werden sollen.

Voraussetzungen

  • Stellen Sie sicher, dass in Ihrer Umgebung Platform Services Controller Version 6.5 oder höher verwendet wird und dass Sie vCenter Server Version 6.0 oder höher verwenden. Platform Services Controller Version 6.0 Update 2 unterstützt die Smartcard-Authentifizierung, das Installationsverfahren ist aber unterschiedlich.
  • Stellen Sie sicher, dass in Ihrer Umgebung ein Unternehmens-PKI-Schlüssel (Public Key Infrastructure) eingerichtet ist und die Zertifikate die folgenden Anforderungen erfüllen:
    • Ein Benutzerprinzipalname (User Principal Name, UPN) muss einem Active Directory-Konto in der Erweiterung „Alternativname für Betreff“ (SAN) entsprechen.

    • Im Zertifikat muss im Feld „Anwendungsrichtlinie“ oder „Erweiterte Schlüsselverwendung“ der Eintrag „Clientauthentifizierung“ angegeben sein, anderenfalls zeigt der Browser das Zertifikat nicht an.

  • Stellen Sie sicher, dass das Platform Services Controller-Zertifikat für die Workstation des Endbenutzers vertrauenswürdig ist. Andernfalls unternimmt der Browser keinen Versuch zur Authentifizierung.
  • Fügen Sie eine Active Directory-Identitätsquelle zu vCenter Single Sign-On hinzu.
  • Weisen Sie die vCenter Server-Administratorrolle einem oder mehreren Benutzern in der Active Directory-Identitätsquelle zu. Diese Benutzer können nun Verwaltungsaufgaben durchführen, da sie berechtigt sind, sich zu authentifizieren und über Administratorrechte für vCenter Server verfügen.
    Hinweis: Der Administrator der vCenter Single Sign-On-Domäne, standardmäßig „[email protected]“, kann keine Smartcard-Authentifizierung durchführen.

Prozedur

  1. Melden Sie sich mit dem vSphere Client beim vCenter Server an, der mit dem Platform Services Controller verbunden ist.
  2. Geben Sie den Benutzernamen und das Kennwort für „[email protected]“ oder für ein anderes Mitglied der Administratorengruppe von vCenter Single Sign-On an.
    Falls Sie eine andere Domäne während der Installation angegeben haben, melden Sie sich als administrator@ meinedomäne an.
  3. Navigieren Sie zur Benutzeroberfläche für die Konfiguration.
    1. Wählen Sie im Menü Home die Option Verwaltung aus.
    2. Klicken Sie unter Single Sign-On auf Konfiguration.
  4. Klicken Sie auf Smartcard-Authentifizierung.
  5. Klicken Sie auf Zertifikatwiderruf und dann auf Bearbeiten, um die Überprüfung des Widerrufs zu aktivieren oder zu deaktivieren.
  6. Falls in Ihrer Umgebung Zertifikatsrichtlinien gelten, können Sie im Bereich Zertifikatsrichtlinien eine Richtlinie hinzufügen.