Vous pouvez personnaliser la vérification de la révocation du certificat, et vous pouvez spécifier le ou les emplacements dans lesquels vCenter Single Sign-On doit rechercher des informations sur les certificats révoqués.

Pourquoi et quand exécuter cette tâche

Vous pouvez personnaliser le comportement à l'aide de l'interface Web de Platform Services Controller ou en utilisant le script sso-config. Les paramètres que vous sélectionnez dépendent en partie de l'étendue de la prise en charge de l'autorité de certification.

  • Si la vérification de la révocation est désactivée, vCenter Single Sign-On ignore tous les paramètres CRL ou OCSP. vCenter Single Sign-On ne réalise aucun contrôle sur les certificats.

  • Si la vérification de la révocation est activée, la configuration recommandée dépend de la configuration de la PKI.

    OCSP uniquement

    Si l'autorité de certification émettrice prend en charge un répondeur OCSP, activez OCSP et désactivez CRL comme basculement pour OCSP.

    CRL uniquement

    Si l'autorité de certification émettrice ne prend pas en charge OSCP, activez la vérification CRL et désactivez la vérification OSCP.

    OSCP et CRL

    Si l'autorité de certification émettrice prend en charge un répondeur OCSP et une CRL, vCenter Single Sign-On vérifie d'abord le répondeur OCSP. Si le répondeur renvoie un état inconnu ou n'est pas disponible, vCenter Single Sign-On vérifie la CRL. Dans ce cas, activez la vérification OCSP et la vérification CRL, et activez CRL comme basculement pour OCSP.

  • Si la vérification de la révocation est activée, les utilisateurs avancés peuvent spécifier les paramètres supplémentaires suivants.

    URL OSCP

    Par défaut, vCenter Single Sign-On vérifie l'emplacement du répondeur OCSP qui est défini dans le certificat en cours de validation. Vous pouvez spécifier explicitement l'emplacement si l'extension de l'accès aux informations de l'autorité est absente du certificat ou si vous souhaitez la remplacer.

    Utiliser la liste de révocation des certificats

    Par défaut, vCenter Single Sign-On vérifie l'emplacement de la liste de révocation des certificats qui est défini dans le certificat en cours de validation. Désactivez cette option si l'extension du point de distribution CRL est absente du certificat ou si vous souhaitez remplacer la valeur par défaut.

    Emplacement de la liste de révocation des certificats

    Utilisez cette propriété si vous désactivez Utiliser la liste de révocation des certificats et que vous souhaitez spécifier un emplacement (fichier ou URL HTTP) où se trouve la liste de révocation de certificats.

Vous pouvez limiter davantage les certificats que vCenter Single Sign-On accepte en ajoutant une stratégie de certificat.

Préambules

  • Vérifiez que votre environnement utilise Platform Services Controller version 6.5 et que vous utilisez vCenter Server version 6.0 ou version ultérieure. Platform Services Controller version 6.0 Update 2 prend en charge l'authentification par carte à puce, mais la procédure de configuration est différente.

  • Vérifiez qu'une infrastructure à clé publique (PKI, Public Key Infrastructure) d'entreprise est configurée dans votre environnement et que les certificats répondent aux exigences suivantes :

    • Un nom d'utilisateur principal (UPN, User Principal Name) doit correspondre à un compte Active Directory dans l'extension du nom de remplacement du sujet (SAN, Subject Alternative Name).

    • Le certificat doit spécifier l'authentification client dans la stratégie d'application ou le champ Utilisation avancée de la clé, sinon le navigateur n'affiche pas le certificat.

  • Vérifiez que le certificat de l'interface Web Platform Services Controller est approuvé par la station de travail de l'utilisateur final. Sinon, le navigateur ne procédera pas à l'authentification.

  • Ajoutez une source d'identité Active Directory à vCenter Single Sign-On.

  • Attribuez le rôle Administrateur vCenter Server à un ou plusieurs utilisateurs dans la source d'identité Active Directory. Ces utilisateurs peuvent ensuite effectuer des tâches de gestion, car ils sont en mesure de s'authentifier et disposent de privilèges d'administrateur vCenter Server.

    Remarque :

    L'administrateur du domaine vCenter Single Sign-On, administrator@vsphere.local par défaut, ne peut pas effectuer une authentification par carte à puce.

Procédure

  1. Dans un navigateur Web, connectez-vous à vSphere Web Client ou à Platform Services Controller.

    Option

    Description

    vSphere Web Client

    https://vc_hostname_or_IP/vsphere-client

    Platform Services Controller

    https://psc_hostname_or_IP/psc

    Dans un déploiement intégré, le nom d'hôte ou l'adresse IP de Platform Services Controller est identique au nom d'hôte ou à l'adresse IP de vCenter Server.

  2. Spécifiez le nom d'utilisateur et le mot de passe pour administrator@vsphere.local ou un autre membre du groupe d'administrateurs de vCenter Single Sign-On.

    Si vous avez spécifié un autre domaine lors de l'installation, connectez-vous en tant qu'administrator@mydomain.

  3. Accédez à l'interface utilisateur de configuration de vCenter Single Sign-On.

    Option

    Description

    vSphere Web Client

    1. Dans le menu Accueil, sélectionnez Administration.

    2. Sous Single Sign-On, cliquez sur Configuration.

    Platform Services Controller

    Cliquez sur Single Sign-On, puis sur Configuration.

  4. Cliquez sur Paramètres de révocation de certificats, et activez ou désactivez la vérification de la révocation.
  5. Si des stratégies de certificat sont en vigueur dans votre environnement, vous pouvez ajouter une stratégie dans le volet Stratégies de certificat acceptées.