Puede personalizar la verificación de revocación de certificados, así como especificar en qué lugar vCenter Single Sign-On busca información sobre certificados revocados.

Antes de empezar

  • Compruebe que el entorno esté utilizando Platform Services Controller versión 6.0 Update 2 o posteriores, y que se esté utilizando vCenter Server versión 6.0 o posteriores. Actualice los nodos versión 5.5. a la versión 6.0.

  • Compruebe que en su entorno se haya configurado una infraestructura de clave pública (PKI) empresarial, y que los certificados cumplan con los siguientes requerimientos:

    • Un nombre principal de usuario (UPN) que corresponda a una cuenta de Active Directory en la extensión del nombre alternativo de asunto (SAN).

    • La autenticación del cliente se debe especificar en el campo Directiva de aplicación o Utilización de clave mejorada de un certificado; de lo contrario, el explorador no mostrará el certificado.

  • Compruebe que el certificado de la interfaz web de ,Platform Services Controller sea un certificado confiable para la workstation del usuario final; de lo contrario, el explorador no intentará la autenticación.

  • Configure un origen de identidad de Active Directory y agréguelo a vCenter Single Sign-On como un origen de identidad.

  • Asigne la función de Administrador de vCenter Server a uno o más usuarios en el origen de identidad de Active Directory. Los usuarios luego se pueden autenticar porque están en el grupo de Active Directory y poseen privilegios de administrador de vCenter Server. El usuario administrator@vsphere.local no puede realizar la autenticación de tarjeta inteligente.

  • Si desea utilizar la solución Platform Services Controller HA en su entorno, complete toda la configuración de HA antes de configurar la autenticación de tarjeta inteligente. Consulte el artículo 2113085 (Windows) o 2113315 (vCenter Server Appliance) para obtener más detalles.

Por qué y cuándo se efectúa esta tarea

Puede personalizar la conducta utilizando la interfaz web de Platform Services Controller o a través del script de sso-config. La configuración seleccionada depende en parte de lo que la CA admite.

  • Si la verificación de revocación está deshabilitada, vCenter Single Sign-On ignora cualquier configuración de CRL o OCSP.

  • Si la verificación de revocación está habilitada, la configuración recomendada depende de la configuración de la PKI.

    Solo OCSP

    Si la CA emisora admite un respondedor OCSP, habilite OCSP y deshabilite la utilización de CRL para conmutación por error.

    Solo CRL

    Si la CA emisora no admite OSCP, habilite la verificación de CRL y deshabilite la verificación de OSCP.

    Tanto OSCP como CRL

    Si la CA emisora admite tanto un respondedor OCSP como CRL, vCenter Single Sign-On verifica el respondedor OCSP primero. Si el respondedor devuelve un estado desconocido o no está disponible, vCenter Single Sign-On verifica la CRL primero. En este caso, habilite la verificación de OCSP y la de CRL, y habilite CRL como conmutación por error para OCSP.

  • Si la verificación de revocación está habilitada, los usuarios avanzados pueden especificar la siguiente configuración adicional.

    URL de OSCP

    De forma predeterminada, vCenter Single Sign-On verifica la ubicación del respondedor OCSP que se define en el certificado que se está validando. Puede especificar una ubicación explícitamente si no se incluye la extensión Acceso a información de autoridad en el certificado, o si desea anularlo (por ejemplo, por no estar disponible en el entorno).

    Usar CRL del certificado

    De forma predeterminada, vCenter Single Sign-On verifica la ubicación de CRL que se define en el certificado que se está validando. Deshabilite esta opción cuando el certificado no incluye la extensión del punto de distribución de CRL o si desea anular la que se define de forma predeterminada.

    Ubicación de CRL

    Utilice esta propiedad si deshabilita Usar CRL del certificado y desea especificar una ubicación (archivo o URL HTTP) en donde se encuentra la CRL.

Además, se puede agregar una directiva de certificados para limitar aún más los certificados que acepta vCenter Single Sign-On.

Procedimiento

  1. En un explorador web, especifique la siguiente dirección URL para conectarse a Platform Services Controller:

    https://psc_hostname_or_IP/psc

    En una implementación integrada, el nombre de host o la dirección IP de Platform Services Controller es igual al nombre de host o la dirección IP de vCenter Server.

  2. Especifique el nombre de usuario y la contraseña para administrator@vsphere.local u otro miembro del grupo de administradores de vCenter Single Sign-On.

    Si especificó otro dominio durante la instalación, inicie sesión como administrator@mydomain.

  3. Desplácese hasta Single Sign-On > Configuración.
  4. Haga clic en Configuración de revocación de certificado y habilite o deshabilite la verificación de revocación.
  5. Si en su entorno hay directivas de certificados vigentes, puede agregar una directiva en el panel Se aceptaron las directivas de certificado.