Puede personalizar la verificación de revocación de certificados, así como especificar en qué lugar vCenter Single Sign-On busca información sobre certificados revocados.

Por qué y cuándo se efectúa esta tarea

Puede personalizar la conducta utilizando la interfaz web de Platform Services Controller o a través del script de sso-config. La configuración seleccionada depende en parte de lo que la CA admite.

  • Si la verificación de revocación está deshabilitada, vCenter Single Sign-On ignora cualquier configuración de CRL o OCSP. vCenter Single Sign-On no realiza comprobaciones sobre ningún certificado.

  • Si la verificación de revocación está habilitada, la configuración recomendada depende de la configuración de la PKI.

    Solo OCSP

    Si la CA emisora admite un respondedor OCSP, habilite OCSP y deshabilite CRL como conmutación por error para OCSP.

    Solo CRL

    Si la CA emisora no admite OSCP, habilite la verificación de CRL y deshabilite la verificación de OSCP.

    Tanto OSCP como CRL

    Si la CA emisora admite tanto un respondedor OCSP como CRL, vCenter Single Sign-On verifica el respondedor OCSP primero. Si el respondedor devuelve un estado desconocido o no está disponible, vCenter Single Sign-On verifica la CRL primero. En este caso, habilite la verificación de OCSP y la verificación de CRL, y habilite CRL como conmutación por error para OCSP.

  • Si la verificación de revocación está habilitada, los usuarios avanzados pueden especificar la siguiente configuración adicional.

    URL de OSCP

    De forma predeterminada, vCenter Single Sign-On verifica la ubicación del respondedor OCSP que se define en el certificado que se está validando. Puede especificar explícitamente una ubicación si el certificado no incluye la extensión de acceso a la información de la autoridad o si desea anularla.

    Usar CRL del certificado

    De forma predeterminada, vCenter Single Sign-On verifica la ubicación de CRL que se define en el certificado que se está validando. Deshabilite esta opción si el certificado no incluye la extensión del punto de distribución de CRL o si desea anular la que se define de forma predeterminada.

    Ubicación de CRL

    Utilice esta propiedad si deshabilita Usar CRL del certificado y desea especificar una ubicación (archivo o URL HTTP) en donde se encuentra la CRL.

Puede agregar una directiva de certificados para limitar aún más los certificados que acepta vCenter Single Sign-On.

Requisitos

  • Compruebe que el entorno utilice la versión 6.5 de Platform Services Controller, y que usted esté utilizando la versión 6.0 de vCenter Server o versiones posteriores. La versión 6.0 Update 2 de Platform Services Controller admite la autenticación de tarjeta inteligente, pero el procedimiento de configuración es diferente.

  • Compruebe que en su entorno se haya configurado una infraestructura de clave pública (PKI) empresarial, y que los certificados cumplan con los siguientes requerimientos:

    • Un nombre principal de usuario (UPN) debe corresponder a una cuenta de Active Directory en la extensión del nombre alternativo del firmante (SAN).

    • El certificado debe especificar la autenticación del cliente en los campos Directiva de aplicación o Uso mejorado de claves; de lo contrario, el explorador no mostrará el certificado.

  • Compruebe que la estación de trabajo del usuario final confíe en el certificado de la interfaz web de Platform Services Controller. De lo contrario, el navegador no realizará la autenticación.

  • Agregue un origen de identidad de Active Directory a vCenter Single Sign-On.

  • Asigne la función de Administrador de vCenter Server a uno o más usuarios en el origen de identidad de Active Directory. Posteriormente, esos usuarios pueden realizar tareas de autenticación debido a que poseen privilegios de administrador de vCenter Server.

    Nota:

    El administrador del dominio de vCenter Single Sign-On (de manera predeterminada, administrator@vsphere.local) no puede realizar la autenticación de tarjeta inteligente.

Procedimiento

  1. En un explorador web, conéctese a vSphere Web Client o Platform Services Controller.

    Opción

    Descripción

    vSphere Web Client

    https://vc_hostname_or_IP/vsphere-client

    Platform Services Controller

    https://psc_hostname_or_IP/psc

    En una implementación integrada, el nombre de host o la dirección IP de Platform Services Controller es igual al nombre de host o la dirección IP de vCenter Server.

  2. Especifique el nombre de usuario y la contraseña para administrator@vsphere.local u otro miembro del grupo de administradores de vCenter Single Sign-On.

    Si especificó otro dominio durante la instalación, inicie sesión como administrator@mydomain.

  3. Desplácese hasta la interfaz de usuario de configuración de vCenter Single Sign-On.

    Opción

    Descripción

    vSphere Web Client

    1. En el menú Inicio, seleccione Administración.

    2. En Single Sign-On, haga clic en Configuración.

    Platform Services Controller

    Haga clic en Single Sign-On y, a continuación, en Configuración.

  4. Haga clic en Configuración de revocación de certificado y habilite o deshabilite la verificación de revocación.
  5. Si en su entorno hay directivas de certificados vigentes, puede agregar una directiva en el panel Se aceptaron las directivas de certificado.