Vous pouvez personnaliser la vérification de la révocation du certificat, et vous pouvez spécifier le ou les emplacements dans lesquels vCenter Single Sign-On doit rechercher des informations sur les certificats révoqués.
Vous pouvez personnaliser le comportement à l'aide de vSphere Client ou en utilisant le script sso-config. Les paramètres que vous sélectionnez dépendent en partie de l'étendue de la prise en charge de l'autorité de certification.
- Si la vérification de la révocation est désactivée, vCenter Single Sign-On ignore tous les paramètres CRL ou OCSP. vCenter Single Sign-On ne réalise aucun contrôle sur les certificats.
- Si la vérification de la révocation est activée, la configuration recommandée dépend de la configuration de la PKI.
- OCSP uniquement
- Si l'autorité de certification émettrice prend en charge un répondeur OCSP, activez OCSP et désactivez CRL comme basculement pour OCSP.
- CRL uniquement
- Si l'autorité de certification émettrice ne prend pas en charge OSCP, activez la vérification CRL et désactivez la vérification OSCP.
- OSCP et CRL
- Si l'autorité de certification émettrice prend en charge un répondeur OCSP et une CRL, vCenter Single Sign-On vérifie d'abord le répondeur OCSP. Si le répondeur renvoie un état inconnu ou n'est pas disponible, vCenter Single Sign-On vérifie la CRL. Dans ce cas, activez la vérification OCSP et la vérification CRL, et activez CRL comme basculement pour OCSP.
- Si la vérification de la révocation est activée, les utilisateurs avancés peuvent spécifier les paramètres supplémentaires suivants.
- URL OSCP
- Par défaut, vCenter Single Sign-On vérifie l'emplacement du répondeur OCSP qui est défini dans le certificat en cours de validation. Si l'extension de l'accès aux informations de l'autorité est absente du certificat ou si vous souhaitez la remplacer, vous pouvez spécifier explicitement un emplacement.
- Utiliser la liste de révocation des certificats
- Par défaut, vCenter Single Sign-On vérifie l'emplacement de la liste de révocation des certificats qui est défini dans le certificat en cours de validation. Désactivez cette option si l'extension du point de distribution CRL est absente du certificat ou si vous souhaitez remplacer la valeur par défaut.
- Emplacement de la liste de révocation des certificats
- Utilisez cette propriété si vous désactivez Utiliser la liste de révocation des certificats et que vous souhaitez spécifier un emplacement (fichier ou URL HTTP) où se trouve la liste de révocation de certificats.
Vous pouvez limiter davantage les certificats que vCenter Single Sign-On accepte en ajoutant une stratégie de certificat.
Conditions préalables
- Vérifiez que votre environnement utilise Platform Services Controller version 6.5 ou ultérieure et que vous utilisez vCenter Server version 6.0 ou ultérieure. Platform Services Controller version 6.0 Update 2 prend en charge l'authentification par carte à puce, mais la procédure de configuration est différente.
- Vérifiez qu'une infrastructure à clé publique (PKI, Public Key Infrastructure) d'entreprise est configurée dans votre environnement et que les certificats répondent aux exigences suivantes :
- Un nom d'utilisateur principal (UPN, User Principal Name) doit correspondre à un compte Active Directory dans l'extension du nom de remplacement du sujet (SAN, Subject Alternative Name).
Le certificat doit spécifier l'authentification client dans la stratégie d'application ou le champ Utilisation avancée de la clé, sinon le navigateur n'affiche pas le certificat.
- Vérifiez que le certificat Platform Services Controller est approuvé par le poste de travail de l'utilisateur final. Sinon, le navigateur ne procédera pas à l'authentification
- Ajoutez une source d'identité Active Directory à vCenter Single Sign-On.
- Attribuez le rôle Administrateur vCenter Server à un ou plusieurs utilisateurs dans la source d'identité Active Directory. Ces utilisateurs peuvent ensuite effectuer des tâches de gestion, car ils sont en mesure de s'authentifier et disposent de privilèges d'administrateur vCenter Server.
Note : L'administrateur du domaine vCenter Single Sign-On, [email protected] par défaut, ne peut pas effectuer une authentification par carte à puce.