証明書の失効チェックは、カスタマイズできます。また、失効した証明書の情報について、vCenter Single Sign-On の参照先を指定できます。

このタスクについて

Platform Services Controller Web インターフェイスまたは sso-config スクリプトを使用して動作をカスタマイズできます。認証局が何をサポートするかによって、設定が異なる場合があります。

  • 失効チェックが無効になっている場合、vCenter Single Sign-On では証明書失効リスト (CRL) またはオンライン証明書状態プロトコル (OCSP) の設定はすべて無視されます。vCenter Single Sign-On では証明書のチェックは実行されません。

  • 失効チェックが有効になっている場合、推奨される設定は PKI の設定により異なります。

    OCSP のみ

    発行元の認証局で OCSP レスポンダがサポートされている場合、OCSP が有効になり、OCSP のフェイルオーバーとしての CRL が無効になります。

    CRL のみ

    発行元の認証局で OSCP がサポートされていない場合、CRL チェック が有効になり、OSCP チェック が無効になります。

    OSCP と CRL の両方の利用

    発行元の認証局で OCSP レスポンダと CRL の両方がサポートされている場合、vCenter Single Sign-On によって OCSP レスポンダが最初にチェックされます。レスポンダによって不明なステータスが返されるか、使用可能でない場合は、vCenter Single Sign-On によって CRL がチェックされます。この場合、OCSP チェック および CRL チェック の両方が有効になり、OCSP のフェイルオーバーとしての CRL が有効になります。

  • 失効チェックが有効な場合、上級ユーザーは次の追加設定を指定できます。

    OSCP URL

    vCenter Single Sign-On は、デフォルトで、検証されている証明書内で定義される OCSP レスポンダの場所を確認します。Authority Information Access 拡張機能が証明書内に含まれていない場合、またはオーバーライドする場合は、明示的に場所を指定できます。

    証明書の CRL を使用

    vCenter Single Sign-On は、デフォルトで、検証されている証明書内で定義される CRL の場所を確認します。CRL Distribution Point 拡張機能が証明書内に含まれていない場合、またはデフォルト設定をオーバーライドする場合は、このオプションを無効にします。

    CRL の場所

    証明書の CRL を使用 を無効にし、CRL が配置されている場所(ファイルまたは HTTP URL)を指定する場合は、このプロパティを使用します。

証明書ポリシーを追加することで、vCenter Single Sign-On が受け入れる証明書をさらに制限できます。

前提条件

  • 導入環境内で Platform Services Controller バージョン 6.5 および vCenter Server バージョン 6.0 以降を使用していることを確認します。Platform Services Controller バージョン 6.0 Update 2 は、スマート カード認証をサポートしますが、セットアップの手順が異なります。

  • エンタープライズの公開鍵基盤 (PKI) が環境内に設定されていること、および証明書が次の要件を満たしていることを確認します。

    • ユーザー プリンシパル名 (UPN) は、Subject Alternative Names (SAN) 拡張の Active Directory アカウントに対応する必要があります。

    • 証明書では、アプリケーション ポリシーまたは拡張キー使用法のフィールドにクライアント認証を指定する必要があります。設定しない場合、ブラウザに証明書が表示されません。

  • Platform Services Controller Web インターフェイスの証明書がエンド ユーザーのワークステーションによって信頼されていることを確認します。信頼されていない場合、ブラウザは認証は試行しません。

  • vCenter Single Sign-On に Active Directory アイデンティティ ソースを追加します。

  • vCenter Server 管理者ロールを、Active Directory アイデンティティ ソースの 1 人以上のユーザーに割り当てます。これらのユーザーは、認証を受けることができ、vCenter Server 管理者権限を保有しているので、管理タスクを実行できます。

    注:

    vCenter Single Sign-On ドメインの管理者(デフォルトは administrator@vsphere.local)はスマート カード認証を実行できません。

手順

  1. Web ブラウザから vSphere Web Client または Platform Services Controller に接続します。

    オプション

    説明

    vSphere Web Client

    https://vc_hostname_or_IP/vsphere-client

    Platform Services Controller

    https://psc_hostname_or_IP/psc

    組み込みデプロイでは、Platform Services Controller のホスト名または IP アドレスは vCenter Server のホスト名または IP アドレスと同じです。

  2. administrator@vsphere.local または vCenter Single Sign-On 管理者グループの別のメンバーのユーザー名とパスワードを指定します。

    インストール時に異なるドメインを指定した場合は、administrator@mydomain としてログインします。

  3. vCenter Single Sign-On の設定を行うユーザー インターフェイスに移動します。

    オプション

    説明

    vSphere Web Client

    1. ホーム メニューから 管理 を選択します。

    2. シングル サインオン で、構成 をクリックします。

    Platform Services Controller

    シングル サインオン で、構成 をクリックします。

  4. 証明書失効の設定 をクリックし、失効チェックを有効または無効にします。
  5. 環境内で証明書ポリシーが有効になっている場合、承認された証明書ポリシー ペインにポリシーを追加できます。