Antes de habilitar la autenticación de la tarjeta inteligente, debe configurar el proxy inverso en el sistema de vCenter Server.

Se necesita una configuración de proxy inverso en vSphere 6.5 y posteriores.

Requisitos previos

Copie los certificados de CA al sistema de vCenter Server.

Nota: vCenter Server 7.0 es compatible con el protocolo HTTP/2. Todos los navegadores y las aplicaciones modernas, incluido vSphere Client, se conectan a vCenter Server mediante HTTP/2. Sin embargo, la autenticación de tarjeta inteligente requiere el uso del protocolo HTTP/1.1. Al habilitar la autenticación de tarjeta inteligente, se deshabilita la negociación del protocolo de la capa de aplicación (ALPN, del inglés "Application-Layer Protocol Negotiation", https://tools.ietf.org/html/rfc7301) para HTTP/2, lo que impide que el explorador utilice HTTP/2. Las aplicaciones que usen solo HTTP/2, sin depender de ALPN, seguirán funcionando.

Procedimiento

  1. Inicie sesión en el shell de vCenter Server como usuario raíz.
  2. Cree un almacén de CA de un cliente de confianza.
    Este almacén contiene los certificados de la CA emisora de confianza para el certificado de cliente. El cliente aquí es el explorador desde el que el proceso de la tarjeta inteligente solicita información al usuario final.

    El siguiente ejemplo muestra cómo crear un almacén de certificados en vCenter Server.

    Para un único certificado:
    cd /usr/lib/vmware-sso/
    openssl x509 -inform PEM -in xyzCompanySmartCardSigningCA.cer > /usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem

    Para varios certificados:

    cd /usr/lib/vmware-sso/
    openssl x509 -inform PEM -in xyzCompanySmartCardSigningCA.cer >> /usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem
  3. Cree una copia de seguridad del archivo /etc/vmware-rhttpproxy/config.xml que incluya la definición del proxy inverso y abra config.xml en un editor.
  4. Realice los siguientes cambios y guarde el archivo.
    <http>
    <maxConnections> 2048 </maxConnections>
    <requestClientCertificate>true</requestClientCertificate>
    <clientCertificateMaxSize>4096</clientCertificateMaxSize>
    <clientCAListFile>/usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem</clientCAListFile>
    </http>
    El archivo config.xml incluye algunos de estos elementos. Quite las marcas de comentarios de los elementos, actualice los elementos o agréguelos según sea necesario.
  5. Reinicie el servicio.
    /usr/lib/vmware-vmon/vmon-cli --restart rhttpproxy