証明書の失効チェックは、カスタマイズできます。また、失効した証明書の情報について、vCenter Single Sign-On の参照先を指定できます。
vSphere Client または sso-config スクリプトを使用して動作をカスタマイズできます。認証局が何をサポートするかによって、設定が異なる場合があります。
- 失効チェックが無効になっている場合、vCenter Single Sign-On では証明書失効リスト (CRL) またはオンライン証明書状態プロトコル (OCSP) の設定はすべて無視されます。vCenter Single Sign-On では証明書のチェックは実行されません。
- 失効チェックが有効になっている場合、推奨される設定は PKI の設定により異なります。
- OCSP のみ
- 発行元の認証局で OCSP レスポンダがサポートされている場合、 [OCSP] が有効になり、 [OCSP のフェイルオーバーとしての CRL] が無効になります。
- CRL のみ
- 発行元の認証局で OSCP がサポートされていない場合、 [CRL チェック] が有効になり、 [OSCP チェック] が無効になります。
- OSCP と CRL の両方の利用
- 発行元の認証局で OCSP レスポンダと CRL の両方がサポートされている場合、vCenter Single Sign-On によって OCSP レスポンダが最初にチェックされます。レスポンダによって不明なステータスが返されるか、使用可能でない場合は、vCenter Single Sign-On によって CRL がチェックされます。この場合、 [OCSP チェック] および [CRL チェック] の両方が有効になり、 [OCSP のフェイルオーバーとしての CRL] が有効になります。
- 失効チェックが有効な場合、上級ユーザーは次の追加設定を指定できます。
- OSCP URL
- vCenter Single Sign-On は、デフォルトで、検証されている証明書内で定義される OCSP レスポンダの場所を確認します。Authority Information Access 拡張領域が証明書内にない場合、または拡張領域にオーバーライドする場合には、明示的に場所を指定できます。
- 証明書の CRL を使用
- vCenter Single Sign-On は、デフォルトで、検証されている証明書内で定義される CRL の場所を確認します。CRL Distribution Point 拡張機能が証明書内に含まれていない場合、またはデフォルト設定をオーバーライドする場合は、このオプションを無効にします。
- CRL の場所
- [証明書の CRL を使用] を無効にし、CRL が配置されている場所(ファイルまたは HTTP URL)を指定する場合は、このプロパティを使用します。
証明書ポリシーを追加することで、vCenter Single Sign-On が受け入れる証明書をさらに制限できます。
前提条件
- 導入環境内で Platform Services Controller バージョン 6.5 以降および vCenter Server バージョン 6.0 以降を使用していることを確認します。Platform Services Controller バージョン 6.0 Update 2 は、スマート カード認証をサポートしますが、セットアップの手順が異なります。
- エンタープライズの公開鍵基盤 (PKI) が環境内に設定されていること、および証明書が次の要件を満たしていることを確認します。
- ユーザー プリンシパル名 (UPN) は、Subject Alternative Names (SAN) 拡張の Active Directory アカウントに対応する必要があります。
証明書では、アプリケーション ポリシーまたは拡張キー使用法のフィールドにクライアント認証を指定する必要があります。設定しない場合、ブラウザに証明書が表示されません。
- Platform Services Controller の証明書がエンド ユーザーのワークステーションによって信頼されていることを確認します。信頼されていない場合、ブラウザは認証を試行しません。
- vCenter Single Sign-On に Active Directory ID ソースを追加します。
- vCenter Server管理者ロールを、Active Directory ID ソースの 1 人以上のユーザーに割り当てます。これらのユーザーは、認証を受けることができ、vCenter Server管理者権限を保有しているので、管理タスクを実行できます。
注: vCenter Single Sign-On ドメインの管理者(デフォルトは [email protected])はスマート カード認証を実行できません。