証明書の失効チェックは、カスタマイズできます。また、失効した証明書の情報について、vCenter Single Sign-On の参照先を指定できます。

vSphere Client または sso-config スクリプトを使用して動作をカスタマイズできます。認証局が何をサポートするかによって、設定が異なる場合があります。

  • 失効チェックが無効になっている場合、vCenter Single Sign-On では証明書失効リスト (CRL) またはオンライン証明書状態プロトコル (OCSP) の設定はすべて無視されます。vCenter Single Sign-On では証明書のチェックは実行されません。
  • 失効チェックが有効な場合、設定は PKI の設定により異なります。
    OCSP のみ
    発行元の認証局で OCSP レスポンダがサポートされている場合、 [OCSP] が有効になり、 [OCSP のフェイルオーバーとしての CRL] が無効になります。
    CRL のみ
    発行元の認証局で OSCP がサポートされていない場合、 [CRL チェック] が有効になり、 [OSCP チェック] が無効になります。
    OSCP と CRL の両方の利用
    発行元の認証局で OCSP レスポンダと CRL の両方がサポートされている場合、vCenter Single Sign-On によって OCSP レスポンダが最初にチェックされます。レスポンダによって不明なステータスが返されるか、使用可能でない場合は、vCenter Single Sign-On によって CRL がチェックされます。この場合、 [OCSP チェック] および [CRL チェック] の両方が有効になり、 [OCSP のフェイルオーバーとしての CRL] が有効になります。
  • 失効チェックが有効な場合、上級ユーザーは次の追加設定を指定できます。
    OSCP URL
    vCenter Single Sign-On は、デフォルトで、検証されている証明書内で定義される OCSP レスポンダの場所を確認します。Authority Information Access 拡張領域が証明書内にない場合、または拡張領域にオーバーライドする場合には、明示的に場所を指定できます。
    証明書の CRL を使用
    vCenter Single Sign-On は、デフォルトで、検証されている証明書内で定義される CRL の場所を確認します。CRL Distribution Point 拡張機能が証明書内に含まれていない場合、またはデフォルト設定をオーバーライドする場合は、このオプションを無効にします。
    CRL の場所
    [証明書の CRL を使用] を無効にし、CRL が配置されている場所(ファイルまたは HTTP URL)を指定する場合は、このプロパティを使用します。

証明書ポリシーを追加することで、vCenter Single Sign-On が受け入れる証明書をさらに制限できます。

前提条件

  • エンタープライズの公開鍵基盤 (PKI) が環境内に設定されていること、および証明書が次の要件を満たしていることを確認します。
    • ユーザー プリンシパル名 (UPN) は、Subject Alternative Names (SAN) 拡張の Active Directory アカウントに対応する必要があります。
    • 証明書では、アプリケーション ポリシーまたは拡張キー使用法のフィールドにクライアント認証を指定する必要があります。設定しない場合、ブラウザに証明書が表示されません。

  • vCenter Server の証明書がエンド ユーザーのワークステーションによって信頼されていることを確認します。信頼されていない場合、ブラウザは認証を試行しません。
  • vCenter Single Sign-On に Active Directory ID ソースを追加します。
  • vCenter Server 管理者ロールを、Active Directory ID ソースの 1 人以上のユーザーに割り当てます。これらのユーザーは、認証を受けることができ、vCenter Server 管理者権限を保有しているので、管理タスクを実行できます。

手順

  1. vSphere Client を使用して vCenter Server にログインします。
  2. administrator@vsphere.local または vCenter Single Sign-On 管理者グループの別のメンバーのユーザー名とパスワードを指定します。
    インストール時に異なるドメインを指定した場合は、administrator@ mydomain としてログインします。
  3. [構成] ユーザー インターフェイスに移動します。
    1. [ホーム] メニューから [管理] を選択します。
    2. [Single Sign-On] で、[構成] をクリックします。
  4. [ID プロバイダ] タブで、[スマート カード認証] をクリックします。
  5. [証明書の失効] をクリックし、[編集] をクリックして、失効チェックを有効または無効にします。
  6. 環境内で証明書ポリシーが有効になっている場合、[証明書ポリシー] ペインにポリシーを追加できます。