Vous pouvez personnaliser la vérification de la révocation du certificat et vous pouvez spécifier où vCenter Single Sign-On recherche des informations sur les certificats révoqués.

Avant de commencer

  • Vérifiez que votre environnement utilise Platform Services Controller version 6.0 Update 2 ou version ultérieure, et que vous utilisez vCenter Server version 6.0 ou version ultérieure. Mettez à niveau les nœuds de version 5.5 vers la version 6.0.

  • Vérifiez qu'une infrastructure à clé publique (PKI, Public Key Infrastructure) d'entreprise est configurée dans votre environnement et que les certificats répondent aux exigences suivantes :

    • Un nom d'utilisateur principal (UPN, User Principal Name) qui correspond à un compte Active Directory dans l'extension du nom de remplacement du sujet (SAN, Subject Alternative Name).

    • L'authentification du client doit être spécifiée dans le champ Stratégie d'application ou Utilisation avancée de la clé d'un certificat, sinon le navigateur n'affiche pas ce certificat.

  • Vérifiez que l'interface Web de Platform Services Controller est approuvée par la station de travail de l'utilisateur final ; sinon, le navigateur ne tente pas l'authentification.

  • Configurez une source d'identité Active Directory et ajoutez-la à vCenter Single Sign-On en tant que source d'identité.

  • Attribuez le rôle Administrateur vCenter Server à un ou plusieurs utilisateurs dans la source d'identité Active Directory. Ces utilisateurs peuvent alors s'authentifier, car ils font partie du groupe Active Directory et ils ont des privilèges d'administrateur de vCenter Server. L'utilisateur administrator@vsphere.local ne peut pas effectuer d'authentification par carte à puce.

  • Si vous souhaitez utiliser la solution HA de Platform Services Controller dans votre environnement, effectuez toute la configuration HA avant de configurer l'authentification par carte à puce. Reportez-vous à l'article 2113085 (Windows) ou 2113315 (vCenter Server Appliance) de la base de connaissances VMware.

Pourquoi et quand exécuter cette tâche

Vous pouvez personnaliser le comportement à l'aide de l'interface Web de Platform Services Controller ou en utilisant le script sso-config. Les paramètres que vous sélectionnez dépendent en partie de l'étendue de la prise en charge de l'autorité de certification.

  • Si la vérification de la révocation est désactivée, vCenter Single Sign-On ignore tous les paramètres CRL ou OCSP.

  • Si la vérification de la révocation est activée, la configuration recommandée dépend de la configuration de la PKI.

    OCSP uniquement

    Si l'autorité de certification émettrice prend en charge un répondeur OCSP, activez OCSP et désactivez l'utilisation de CRL comme basculement.

    CRL uniquement

    Si l'autorité de certification émettrice ne prend pas en charge OSCP, activez la vérification CRL et désactivez la vérification OSCP.

    OSCP et CRL

    Si l'autorité de certification émettrice prend en charge un répondeur OCSP et une CRL, vCenter Single Sign-On vérifie d'abord le répondeur OCSP. Si le répondeur renvoie un état inconnu ou n'est pas disponible, vCenter Single Sign-On vérifie la CRL. Dans ce cas, activez la vérification OCSP et la vérification CRL, et activez CRL comme basculement pour OCSP.

  • Si la vérification de la révocation est activée, les utilisateurs avancés peuvent spécifier les paramètres supplémentaires suivants.

    URL OSCP

    Par défaut, vCenter Single Sign-On vérifie l'emplacement du répondeur OCSP qui est défini dans le certificat en cours de validation. Vous pouvez explicitement spécifier un emplacement si l'extension d'accès aux informations de l'autorité est absente du certificat ou si vous souhaitez la remplacer (par exemple, parce qu'elle n'est pas disponible dans votre environnement).

    Utiliser la liste de révocation des certificats

    Par défaut, vCenter Single Sign-On vérifie l'emplacement de la liste de révocation des certificats qui est défini dans le certificat en cours de validation. Désactivez cette option lorsque l'extension du point de distribution CRL est absente du certificat et si vous souhaitez remplacer la valeur par défaut.

    Emplacement de la liste de révocation des certificats

    Utilisez cette propriété si vous désactivez Utiliser la liste de révocation des certificats et que vous souhaitez spécifier un emplacement (fichier ou URL HTTP) où se trouve la liste de révocation de certificats.

En outre, vous pouvez limiter les certificats que vCenter Single Sign-On accepte en ajoutant une stratégie de certificat.

Procédure

  1. Dans un navigateur Web, connectez-vous à Platform Services Controller en spécifiant l'URL suivante :

    https://psc_hostname_or_IP/psc

    Dans un déploiement intégré, le nom d'hôte ou l'adresse IP de Platform Services Controller est identique au nom d'hôte ou à l'adresse IP de vCenter Server.

  2. Spécifiez le nom d'utilisateur et le mot de passe pour administrator@vsphere.local ou un autre membre du groupe d'administrateurs de vCenter Single Sign-On.

    Si vous avez spécifié un autre domaine lors de l'installation, connectez-vous en tant qu'administrator@mydomain.

  3. Accédez à Single Sign-On > Configuration.
  4. Cliquez sur Paramètres de révocation de certificats, et activez ou désactivez la vérification de la révocation.
  5. Si des stratégies de certificat sont en vigueur dans votre environnement, vous pouvez ajouter une stratégie dans le volet Stratégies de certificat acceptées.