Puede personalizar la verificación de revocación de certificados, así como especificar en qué lugar vCenter Single Sign-On busca información sobre certificados revocados.
Puede personalizar el comportamiento utilizando vSphere Client o el script de sso-config. La configuración seleccionada depende en parte de lo que la CA admite.
- Si la verificación de revocación está deshabilitada, vCenter Single Sign-On ignora cualquier configuración de CRL o OCSP. vCenter Single Sign-On no realiza comprobaciones sobre ningún certificado.
- Si la verificación de revocación está habilitada, la configuración recomendada depende de la configuración de la PKI.
- Solo OCSP
- Si la CA emisora admite un respondedor OCSP, habilite OCSP y deshabilite CRL como conmutación por error para OCSP.
- Solo CRL
- Si la CA emisora no admite OSCP, habilite la verificación de CRL y deshabilite la verificación de OSCP.
- Tanto OSCP como CRL
- Si la CA emisora admite tanto un respondedor OCSP como CRL, vCenter Single Sign-On verifica el respondedor OCSP primero. Si el respondedor devuelve un estado desconocido o no está disponible, vCenter Single Sign-On verifica la CRL primero. En este caso, habilite la verificación de OCSP y la verificación de CRL, y habilite CRL como conmutación por error para OCSP.
- Si la verificación de revocación está habilitada, los usuarios avanzados pueden especificar la siguiente configuración adicional.
- URL de OSCP
- De forma predeterminada, vCenter Single Sign-On verifica la ubicación del respondedor OCSP que se define en el certificado que se está validando. Si la extensión de acceso a la información de entidad no está presente en el certificado o si desea anularla, puede especificar explícitamente una ubicación.
- Usar CRL del certificado
- De forma predeterminada, vCenter Single Sign-On verifica la ubicación de CRL que se define en el certificado que se está validando. Deshabilite esta opción si el certificado no incluye la extensión del punto de distribución de CRL o si desea anular la que se define de forma predeterminada.
- Ubicación de CRL
- Utilice esta propiedad si deshabilita Usar CRL del certificado y desea especificar una ubicación (archivo o URL HTTP) en donde se encuentra la CRL.
Puede agregar una directiva de certificados para limitar aún más los certificados que acepta vCenter Single Sign-On.
Requisitos previos
- Compruebe que el entorno utilice la versión 6.5 de Platform Services Controller o versiones posteriores y que se esté utilizando la versión 6.0 de vCenter Server o versiones posteriores. La versión 6.0 Update 2 de Platform Services Controller admite la autenticación de tarjeta inteligente, pero el procedimiento de configuración es diferente.
- Compruebe que en su entorno se haya configurado una infraestructura de clave pública (Public Key Infrastructure, PKI) empresarial, y que los certificados cumplan con los siguientes requerimientos:
- Un nombre principal de usuario (User Principal Name, UPN) debe corresponder a una cuenta de Active Directory en la extensión del nombre alternativo del firmante (Subject Alternative Name, SAN).
El certificado debe especificar la autenticación del cliente en los campos Directiva de aplicación o Uso mejorado de claves; de lo contrario, el explorador no mostrará el certificado.
- Compruebe que el certificado de Platform Services Controller sea de confianza para la estación de trabajo del usuario final. De lo contrario, el explorador no intentará la autenticación.
- Agregue un origen de identidad de Active Directory a vCenter Single Sign-On.
- Asigne la función de Administrador de vCenter Server a uno o más usuarios en el origen de identidad de Active Directory. Posteriormente, esos usuarios pueden realizar tareas de autenticación debido a que poseen privilegios de administrador de vCenter Server.
Nota: El administrador del dominio de vCenter Single Sign-On (de manera predeterminada, [email protected]) no puede realizar la autenticación de tarjeta inteligente.