クライアント証明書を要求するリバースプロキシの設定

スマートカード認証を有効にするには、Platform Services Controller システムでリバースプロキシを設定する必要があります。お使いの環境で組み込みの Platform Services Controller を使用している場合、vCenter Server と Platform Services Controller の両方が実行されているシステムでこのタスクを実行します。

リバースプロキシの設定は、vSphere 6.5 以降で必要です。

前提条件

CA 証明書を Platform Services Controller システムにコピーします。

手順

Platform Services Controller にログインします。

OS	説明
アプライアンス	アプライアンスシェルに root ユーザーとしてログインします。
Windows	Windows コマンドプロンプトに管理者ユーザーとしてログインします。

信頼できるクライアント認証局 (CA) ストアを作成します。
このストアには、クライアント証明書用の信頼できる発行元の認証局の証明書が含まれます。ここでは、クライアントとは、スマートカードプロセスでエンドユーザーに情報の入力を求めるメッセージが表示されるブラウザを指します。
次の例は、Platform Services Controller アプライアンスで証明書ストアを作成する方法を示しています。
単一の証明書の場合：
```
cd /usr/lib/vmware-sso/
openssl x509 -inform PEM -in xyzCompanySmartCardSigningCA.cer > /usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem
```
複数の証明書の場合：
```
cd /usr/lib/vmware-sso/
openssl x509 -inform PEM -in xyzCompanySmartCardSigningCA.cer >> /usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem
```
注： Windows の Platform Services Controller で C:\ProgramData\VMware\vCenterServer\runtime\VMwareSTSService\conf\ を使用し、バックスラッシュを使用するようにコマンドを変更します。

リバースプロキシ定義を含む config.xml ファイルのバックアップを作成して、エディタで config.xml を開きます。

OS	説明
アプライアンス	/etc/vmware-rhttpproxy/config.xml
Windows	C:\ProgramData\VMware\vCenterServer\cfg\vmware-rhttpproxy\config.xml

次の変更を加えて、ファイルを保存します。

<http>
<maxConnections> 2048 </maxConnections>
<requestClientCertificate>true</requestClientCertificate>
<clientCertificateMaxSize>4096</clientCertificateMaxSize>
<clientCAListFile>/usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem</clientCAListFile>
</http>

config.xml ファイルには、これらの要素が含まれます。必要に応じて、コメントを解除する、更新する、または構成要素を追加します。

サービスを再起動してください。

OS	説明
アプライアンス	/usr/lib/vmware-vmon/vmon-cli --restart rhttpproxy
Windows	OS を再起動するか、次の手順で VMware HTTP Reverse Proxy を再起動します。管理者権限を使用して、コマンドプロンプトを開きます。次のコマンドを実行します。 cd C:\Program Files\VMware\vCenter Server\bin service-control --stop vmware-rhttpproxy service-control --start vmware-rhttpproxy