È possibile personalizzare il controllo revoca del certificato e specificare dove vCenter Single Sign-On deve cercare le informazioni relative ai certificati revocati.

È possibile personalizzare il comportamento utilizzando vSphere Client o lo script sso-config. Le impostazioni selezionate dipendono in parte da ciò che l'autorità di certificazione supporta.

  • Se il controllo della revoca è disattivato, vCenter Single Sign-On ignora le impostazioni di CRL o di OCSP. vCenter Single Sign-On non esegue controlli su alcun certificato.
  • Se il controllo della revoca è attivato, la configurazione dipende dalla configurazione di PKI.
    Solo OCSP
    Se l'autorità di certificazione emittente supporta un risponditore OCSP, attivare OCSP e disattivare CRL come failover per OCSP.
    Solo CRL
    Se l'autorità di certificazione emittente non supporta OSCP, attivare il controllo Controllo CRL e disattivare Controllo OCSP.
    OCSP e CRL
    Se l'autorità di certificazione emittente supporta sia un risponditore OCSP che un CRL, vCenter Single Sign-On controlla prima il risponditore OCSP. Se il risponditore restituisce uno stato sconosciuto o non è disponibile, vCenter Single Sign-On controlla il CRL. In questo caso, attivare Controllo OCSP e Controllo CRL, quindi attivare CRL come failover per OCSP.
  • Se il controllo della revoca è attivato, gli utenti avanzati possono specificare le seguenti impostazioni aggiuntive.
    URL OSCP
    Per impostazione predefinita, vCenter Single Sign-On controlla la posizione del risponditore OCSP definito nel certificato da convalidare. Se l'estensione Authority Information Access (AIA) non è presente nel certificato o se si desidera sostituirla, è possibile specificare esplicitamente una posizione.
    Usa CRL da certificato
    Per impostazione predefinita, vCenter Single Sign-On controlla la posizione del CRL definito nel certificato da convalidare. Disattivare questa opzione se l'estensione del punto di distribuzione del CRL non è presente nel certificato o se si desidera sostituire l'impostazione predefinita.
    Posizione CRL
    Utilizzare questa proprietà se si disattiva Usa CRL da certificato e si desidera specificare una posizione (file o URL HTTP) in cui si trova il CRL.

È possibile limitare ulteriormente i certificati accettati da vCenter Single Sign-On aggiungendo un criterio certificato.

Prerequisiti

  • Verificare che nell'ambiente sia configurata un'infrastruttura a chiave pubblica (PKI) aziendale e che i certificati soddisfino i seguenti requisiti:
    • Un nome dell'entità utente (UPN) deve corrispondere a un account Active Directory nell'estensione del nome alternativo del soggetto (Subject Alternative Name).

    • Il certificato deve specificare Autenticazione client nel campo Criterio applicazione o Utilizzo chiave esteso. In caso contrario, nel browser non viene visualizzato il certificato.

  • Verificare che il certificato di vCenter Server sia attendibile dalla workstation dell'utente finale. In caso contrario, il browser non tenta l'autenticazione.
  • Aggiungere un'origine identità di Active Directory in vCenter Single Sign-On.
  • Assegnare il ruolo Amministratore di vCenter Server a uno o più utenti nell'origine identità di Active Directory. Tali utenti possono quindi eseguire attività di gestione perché possono eseguire l'autenticazione e dispongono dei privilegi di amministratore di vCenter Server.

Procedura

  1. Accedere con vSphere Client a vCenter Server.
  2. Specificare il nome utente e la password per [email protected] o un altro membro del gruppo di amministratori di vCenter Single Sign-On.
    Se durante l'installazione è stato specificato un dominio diverso, accedere come administrator@ mydomain.
  3. Passare all'interfaccia utente di configurazione.
    1. Dal menu Home, selezionare Amministrazione.
    2. In Single Sign-On fare clic su Configurazione.
  4. Nella scheda Provider di identità fare clic su Autenticazione smart card.
  5. Fare clic su Revoca del certificato e fare clic su Modifica per attivare o disattivare il controllo della revoca.
  6. Se nell'ambiente sono attivi i criteri del certificato, è possibile aggiungere un criterio nel riquadro Criteri del certificato.