Puede personalizar la verificación de revocación de certificados, así como especificar en qué lugar vCenter Single Sign-On busca información sobre certificados revocados.
Puede personalizar el comportamiento utilizando vSphere Client o el script de sso-config. La configuración seleccionada depende en parte de lo que la CA admite.
- Si la verificación de revocación está desactivada, vCenter Single Sign-On ignora cualquier configuración de CRL o OCSP. vCenter Single Sign-On no realiza comprobaciones sobre ningún certificado.
- Si la verificación de revocación está activada, la configuración depende de la configuración de la PKI.
- Solo OCSP
- Si la CA emisora admite un respondedor OCSP, active OCSP y desactive CRL como conmutación por error para OCSP.
- Solo CRL
- Si la CA emisora no admite OSCP, active la verificación de CRL y desactive la verificación de OSCP.
- Tanto OSCP como CRL
- Si la CA emisora admite tanto un respondedor OCSP como CRL, vCenter Single Sign-On verifica el respondedor OCSP primero. Si el respondedor devuelve un estado desconocido o no está disponible, vCenter Single Sign-On verifica la CRL primero. En este caso, active la verificación de OCSP y la verificación de CRL, y active CRL como conmutación por error para OCSP.
- Si la verificación de revocación está activada, los usuarios avanzados pueden especificar la siguiente configuración adicional.
- URL de OSCP
- De forma predeterminada, vCenter Single Sign-On verifica la ubicación del respondedor OCSP que se define en el certificado que se está validando. Si la extensión de acceso a la información de entidad no está presente en el certificado o si desea anularla, puede especificar explícitamente una ubicación.
- Usar CRL del certificado
- De forma predeterminada, vCenter Single Sign-On verifica la ubicación de CRL que se define en el certificado que se está validando. Desactive esta opción si el certificado no incluye la extensión del punto de distribución de CRL o si desea anular la que se define de forma predeterminada.
- Ubicación de CRL
- Utilice esta propiedad si desactiva Usar CRL del certificado y desea especificar una ubicación (archivo o URL HTTP) en donde se encuentra la CRL.
Puede agregar una directiva de certificados para limitar aún más los certificados que acepta vCenter Single Sign-On.
Requisitos previos
- Compruebe que en su entorno se haya configurado una infraestructura de clave pública (Public Key Infrastructure, PKI) empresarial, y que los certificados cumplan con los siguientes requerimientos:
- Un nombre principal de usuario (User Principal Name, UPN) debe corresponder a una cuenta de Active Directory en la extensión del nombre alternativo del firmante (Subject Alternative Name, SAN).
-
El certificado debe especificar la autenticación del cliente en los campos Directiva de aplicación o Uso mejorado de clave; de lo contrario, el explorador no mostrará el certificado.
- Compruebe que el certificado de vCenter Server sea de confianza para la instancia de Workstation del usuario final. De lo contrario, el explorador no intentará la autenticación.
- Agregue un origen de identidad de Active Directory a vCenter Single Sign-On.
- Asigne la función de Administrador de vCenter Server a uno o más usuarios en el origen de identidad de Active Directory. Posteriormente, esos usuarios pueden realizar tareas de autenticación debido a que poseen privilegios de administrador de vCenter Server.
