証明書の失効チェックは、カスタマイズできます。また、失効した証明書の情報について、vCenter Single Sign-On の参照先を指定できます。

Platform Services ControllerWeb インターフェイスまたはsso-config スクリプトを使用して動作をカスタマイズできます。認証局が何をサポートするかによって、設定が異なる場合があります。

  • 失効チェックが無効になっている場合、vCenter Single Sign-On では証明書失効リスト (CRL) またはオンライン証明書状態プロトコル (OCSP) の設定はすべて無視されます。vCenter Single Sign-On では証明書のチェックは実行されません。
  • 失効チェックが有効になっている場合、推奨される設定は PKI の設定により異なります。
    OCSP のみ
    発行元の認証局で OCSP レスポンダがサポートされている場合、 [OCSP] が有効になり、 [OCSP のフェイルオーバーとしての CRL] が無効になります。
    CRL のみ
    発行元の認証局で OSCP がサポートされていない場合、 [CRL チェック] が有効になり、 [OSCP チェック] が無効になります。
    OSCP と CRL の両方の利用
    発行元の認証局で OCSP レスポンダと CRL の両方がサポートされている場合、vCenter Single Sign-On によって OCSP レスポンダが最初にチェックされます。レスポンダによって不明なステータスが返されるか、使用可能でない場合は、vCenter Single Sign-On によって CRL がチェックされます。この場合、 [OCSP チェック] および [CRL チェック] の両方が有効になり、 [OCSP のフェイルオーバーとしての CRL] が有効になります。
  • 失効チェックが有効な場合、上級ユーザーは次の追加設定を指定できます。
    OSCP URL
    vCenter Single Sign-On は、デフォルトで、検証されている証明書内で定義される OCSP レスポンダの場所を確認します。Authority Information Access 拡張機能が証明書内に含まれていない場合、またはオーバーライドする場合は、明示的に場所を指定できます。
    証明書の CRL を使用
    vCenter Single Sign-On は、デフォルトで、検証されている証明書内で定義される CRL の場所を確認します。CRL Distribution Point 拡張機能が証明書内に含まれていない場合、またはデフォルト設定をオーバーライドする場合は、このオプションを無効にします。
    CRL の場所
    [証明書の CRL を使用] を無効にし、CRL が配置されている場所(ファイルまたは HTTP URL)を指定する場合は、このプロパティを使用します。

証明書ポリシーを追加することで、vCenter Single Sign-On が受け入れる証明書をさらに制限できます。

前提条件

  • 導入環境内で Platform Services Controller バージョン 6.5 および vCenter Server バージョン 6.0 以降を使用していることを確認します。Platform Services Controller6.0 Update 2 は、スマート カード認証をサポートしますが、セットアップの手順が異なります。
  • エンタープライズの公開鍵基盤 (PKI) が環境内に設定されていること、および証明書が次の要件を満たしていることを確認します。
    • ユーザー プリンシパル名 (UPN) は、Subject Alternative Names (SAN) 拡張の Active Directory アカウントに対応する必要があります。

    • 証明書では、アプリケーション ポリシーまたは拡張キー使用法のフィールドにクライアント認証を指定する必要があります。設定しない場合、ブラウザに証明書が表示されません。

  • Platform Services ControllerWeb インターフェイスの証明書がエンド ユーザーのワークステーションによって信頼されていることを確認します。信頼されていない場合、ブラウザは認証は試行しません。
  • vCenter Single Sign-On に Active Directory ID ソースを追加します。
  • vCenter Server管理者ロールを、Active Directory ID ソースの 1 人以上のユーザーに割り当てます。これらのユーザーは、認証を受けることができ、vCenter Server 管理者権限を保有しているので、管理タスクを実行できます。
    注: vCenter Single Sign-On ドメインの管理者(デフォルトは [email protected])はスマート カード認証を実行できません。

手順

  1. Web ブラウザから vSphere Clientまたは Platform Services Controller に接続します。
    オプション 説明
    vSphere Client https://vc_hostname_or_IP/ui
    Platform Services Controller https://psc_hostname_or_IP/psc

    組み込みデプロイでは、Platform Services Controllerのホスト名または IP アドレスは vCenter Server のホスト名または IP アドレスと同じです。

  2. [email protected] または vCenter Single Sign-On 管理者グループの別のメンバーのユーザー名とパスワードを指定します。
    インストール時に異なるドメインを指定した場合は、administrator@ mydomain としてログインします。
  3. vCenter Single Sign-On の設定を行うユーザー インターフェイスに移動します。
    オプション 説明
    vSphere Client
    1. [ホーム] メニューから [管理] を選択します。
    2. [Single Sign-On] で、[構成] をクリックします。
    Platform Services Controller [Single Sign-On] で、[構成] をクリックします。
  4. [スマート カード認証] をクリックします。
  5. [証明書失効の設定] をクリックし、失効チェックを有効または無効にします。
  6. 環境内で証明書ポリシーが有効になっている場合、[承認された証明書ポリシー] ペインにポリシーを追加できます。