Konfigurieren des Reverse-Proxys zum Anfordern von Clientzertifikaten

Bevor Sie die Smartcard-Authentifizierung aktivieren, müssen Sie den Reverse-Proxy auf dem vCenter Server-System konfigurieren.

Eine Reverse-Proxy-Konfiguration ist in vSphere 6.5 und höher erforderlich.

Voraussetzungen

Kopieren Sie die Zertifikate der Zertifizierungsstelle auf das vCenter Server-System.

Hinweis: vCenter Server 7.0 unterstützt das HTTP/2-Protokoll. Alle modernen Browser und Anwendungen, einschließlich vSphere Client, stellen Verbindungen zu vCenter Server über HTTP/2 her. Für die Smartcard-Authentifizierung muss allerdings das HTTP/1.1-Protokoll verwendet werden. Durch das Aktivieren der Smartcard-Authentifizierung wird ALPN (Application-Layer Protocol Negotiation, https://tools.ietf.org/html/rfc7301) für HTTP/2 deaktiviert. Dadurch wird faktisch verhindert, dass der Browser HTTP/2 verwendet. Anwendungen, die nur HTTP/2 verwenden, ohne sich auf ALPN zu stützen, funktionieren weiterhin.

Prozedur

Melden Sie sich bei der vCenter Server-Shell als Root-Benutzer an.
Erstellen Sie einen vertrauenswürdigen Client-Zertifizierungsstellenspeicher.
Dieser Speicher enthält die Zertifikate der vertrauenswürdigen ausstellenden Zertifizierungsstelle für das Clientzertifikat. Der Client ist hierbei der Browser, von dem aus der Smartcard-Prozess den Endbenutzer zur Eingabe von Informationen auffordert.
Im folgenden Beispiel wird verdeutlicht, wie Sie einen Zertifikatspeicher auf vCenter Server erstellen.
Für ein einzelnes Zertifikat:
```
cd /usr/lib/vmware-sso/
openssl x509 -inform PEM -in xyzCompanySmartCardSigningCA.cer > /usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem
```
Für mehrere Zertifikate:
```
cd /usr/lib/vmware-sso/
openssl x509 -inform PEM -in xyzCompanySmartCardSigningCA.cer >> /usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem
```
Erstellen Sie eine Sicherung der Datei /etc/vmware-rhttpproxy/config.xml, die die Reverse-Proxy-Definition enthält, und öffnen Sie config.xml in einem Editor.

Nehmen Sie die folgenden Änderungen vor und speichern Sie die Datei.

<http>
<maxConnections> 2048 </maxConnections>
<requestClientCertificate>true</requestClientCertificate>
<clientCertificateMaxSize>4096</clientCertificateMaxSize>
<clientCAListFile>/usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem</clientCAListFile>
</http>

Die Datei config.xml enthält einige dieser Elemente. Sie können nach Bedarf die Auskommentierung der Elemente aufheben, Elemente aktualisieren oder Elemente hinzufügen.

Starten Sie den Dienst neu.

/usr/lib/vmware-vmon/vmon-cli --restart rhttpproxy