Vous pouvez personnaliser la vérification de la révocation du certificat, et vous pouvez spécifier le ou les emplacements dans lesquels vCenter Single Sign-On doit rechercher des informations sur les certificats révoqués.

Vous pouvez personnaliser le comportement à l'aide de vSphere Client ou en utilisant le script sso-config. Les paramètres que vous sélectionnez dépendent en partie de l'étendue de la prise en charge de l'autorité de certification.

  • Si la vérification de la révocation est désactivée. vCenter Single Sign-On ignore les paramètres CRL ou OCSP. vCenter Single Sign-On ne réalise aucun contrôle sur les certificats.
  • Si la vérification de la révocation est activée, la configuration dépend de la configuration de PKI.
    OCSP uniquement
    Si l'autorité de certification émettrice prend en charge un répondeur OCSP, activez OCSP et désactivez CRL comme basculement pour OCSP.
    CRL uniquement
    Si l'autorité de certification émettrice ne prend pas en charge OSCP, activez la vérification CRL et désactivez la vérification OSCP.
    OSCP et CRL
    Si l'autorité de certification émettrice prend en charge un répondeur OCSP et une CRL, vCenter Single Sign-On vérifie d'abord le répondeur OCSP. Si le répondeur renvoie un état inconnu ou n'est pas disponible, vCenter Single Sign-On vérifie la CRL. Dans ce cas, activez la vérification OCSP et la vérification CRL, et activez Liste de révocation de certificats comme basculement pour OCSP.
  • Si la vérification de la révocation est activée, les utilisateurs avancés peuvent spécifier les paramètres supplémentaires suivants.
    URL OSCP
    Par défaut, vCenter Single Sign-On vérifie l'emplacement du répondeur OCSP qui est défini dans le certificat en cours de validation. Si l'extension de l'accès aux informations de l'autorité est absente du certificat ou si vous souhaitez la remplacer, vous pouvez spécifier explicitement un emplacement.
    Utiliser la liste de révocation des certificats
    Par défaut, vCenter Single Sign-On vérifie l'emplacement de la liste de révocation des certificats qui est défini dans le certificat en cours de validation. Désactivez cette option si l'extension du point de distribution CRL est absente du certificat ou si vous souhaitez remplacer la valeur par défaut.
    Emplacement de la liste de révocation des certificats
    Utilisez cette propriété si vous désactivez Utiliser la liste de révocation de certificats à partir du certificat et que vous souhaitez spécifier un emplacement (fichier ou URL HTTP) où se trouve la liste de révocation de certificats.

Vous pouvez limiter davantage les certificats que vCenter Single Sign-On accepte en ajoutant une stratégie de certificat.

Conditions préalables

  • Vérifiez qu'une infrastructure à clé publique (PKI, Public Key Infrastructure) d'entreprise est configurée dans votre environnement et que les certificats répondent aux exigences suivantes :
    • Un nom d'utilisateur principal (UPN, User Principal Name) doit correspondre à un compte Active Directory dans l'extension du nom de remplacement du sujet (SAN, Subject Alternative Name).
    • Le certificat doit spécifier l'authentification client dans la stratégie d'application ou le champ Utilisation étendue de la clé, sinon le navigateur n'affiche pas le certificat.

  • Vérifiez que le certificat vCenter Server est approuvé par le poste de travail de l'utilisateur final. Sinon, le navigateur ne procédera pas à l'authentification
  • Ajoutez une source d'identité Active Directory à vCenter Single Sign-On.
  • Attribuez le rôle Administrateur vCenter Server à un ou plusieurs utilisateurs dans la source d'identité Active Directory. Ces utilisateurs peuvent ensuite effectuer des tâches de gestion, car ils sont en mesure de s'authentifier et disposent de privilèges d'administrateur vCenter Server.

Procédure

  1. Connectez-vous avec vSphere Client à l'instance de vCenter Server.
  2. Spécifiez le nom d'utilisateur et le mot de passe pour administrator@vsphere.local ou un autre membre du groupe d'administrateurs de vCenter Single Sign-On.
    Si vous avez spécifié un autre domaine lors de l'installation, connectez-vous en tant qu'administrator@ mydomain.
  3. Accédez à l'interface utilisateur de configuration.
    1. Dans le menu Accueil, sélectionnez Administration.
    2. Sous Single Sign-On, cliquez sur Configuration.
  4. Sous l'onglet Fournisseur d'identité, cliquez sur Authentification par carte à puce.
  5. Cliquez sur Révocation des certificats et sur Modifier pour activer ou désactiver la vérification de la révocation.
  6. Si des stratégies de certificat sont en vigueur dans votre environnement, vous pouvez ajouter une stratégie dans le volet Stratégies de certificat.