인증서 해지 확인을 사용자 지정할 수 있으며 vCenter Single Sign-On이 해지된 인증서에 대한 정보를 검색하는 위치를 지정할 수 있습니다.

시작하기 전에

  • 환경에서 Platform Services Controller 버전 6.0 업데이트 2 이상을 사용하고, 현재 vCenter Server 버전 6.0 이상을 사용 중인지 확인합니다. 버전 5.5 노드를 버전 6.0으로 업그레이드합니다.

  • 환경에 엔터프라이즈 PKI(공개 키 인프라)가 설정되어 있고 인증서가 다음과 같은 요구 사항을 충족하는지 확인합니다.

    • SAN(주체 대체 이름) 확장의 Active Directory 계정에 해당하는 UPN(사용자 계정 이름)이 있습니다.

    • 인증서의 [애플리케이션 정책] 또는 [고급 키 사용] 필드에 클라이언트 인증을 지정하지 않으면 브라우저에 해당 인증서가 표시되지 않습니다.

  • 최종 사용자의 Workstation에서 Platform Services Controller 웹 인터페이스 인증서를 신뢰하는지 확인합니다. 신뢰하지 않는 인증서인 경우 브라우저는 인증을 시도하지 않습니다.

  • Active Directory ID 소스를 구성하여 vCenter Single Sign-On에 ID 소스로 추가합니다.

  • Active Directory ID 소스에 속한 사용자 한 명 이상에게 vCenter Server 관리자 역할을 할당합니다. 그러면 해당 사용자는 Active Directory 그룹에 속해 있고 vCenter Server 관리자 권한을 갖고 있으므로 인증할 수 있습니다. administrator@vsphere.local 사용자는 스마트 카드 인증을 수행할 수 없습니다.

  • 환경에서 Platform Services Controller HA 솔루션을 사용하려면 스마트 카드 인증을 설정하기 전에 모든 HA 구성을 완료해야 합니다. VMware 기술 자료 문서 2113085(Windows) 또는 2113315(vCenter Server Appliance)를 참조하십시오.

이 태스크 정보

Platform Services Controller 웹 인터페이스를 사용하거나 sso-config 스크립트를 사용하여 동작을 사용자 지정할 수 있습니다. 선택하는 설정은 CA에서 지원하는 기능에 따라 부분적으로 달라집니다.

  • 해지 확인을 사용하지 않도록 설정하면 vCenter Single Sign-On이 모든 CRL 또는 OCSP 설정을 무시합니다.

  • 해지 확인을 사용하도록 설정하면 PKI 설정에 따라 권장되는 설정이 달라집니다.

    OCSP 전용

    발급하는 CA에서 OCSP 응답자를 지원하는 경우 OCSP를 사용하도록 설정하고 CRL을 페일오버로 사용하지 않도록 설정합니다.

    CRL 전용

    발급하는 CA에서 OSCP를 지원하지 않는 경우, CRL 확인을 사용하도록 설정하고 OSCP 확인을 사용하지 않도록 설정합니다.

    OSCP 및 CRL 모두

    발급하는 CA에서 OCSP 응답자와 CRL 둘 모두 지원하는 경우, vCenter Single Sign-On은 OCSP 응답자부터 확인합니다. 응답자가 사용 가능한 상태가 아니거나 알 수 없는 상태를 반환하면 vCenter Single Sign-On은 CRL을 확인합니다. 이 경우에는 OCSP 확인 및 CRL 확인 둘 모두 사용하도록 설정하고 CRL을 OCSP에 대한 페일오버로 사용하도록 설정합니다.

  • 해지 확인을 사용하도록 설정하면 고급 사용자가 다음과 같은 추가 설정을 지정할 수 있습니다.

    OSCP URL

    기본적으로 vCenter Single Sign-On은 검증 중인 인증서에 정의된 OCSP 응답자의 위치를 확인합니다. 인증서에 기관 정보 액세스 확장의 위치가 없거나, 해당 확장을 재정의하려는 경우(예: 환경에서 사용할 수 없는 경우)에는 위치를 명시적으로 지정할 수 있습니다.

    인증서의 CRL 사용

    기본적으로 vCenter Single Sign-On은 검증 중인 인증서에 정의된 CRL의 위치를 확인합니다. CRL 배포 지점 확장이 인증서에 없거나, 기본값을 재정의하려면 이 옵션을 사용하지 않도록 설정하십시오.

    CRL 위치

    인증서의 CRL 사용 옵션을 사용하지 않도록 설정하고, CRL의 위치(파일 또는 HTTP URL)를 지정하려면 이 속성을 사용합니다.

또한 인증서 정책을 추가하여 vCenter Single Sign-On이 허용하는 인증서를 추가적으로 제한할 수 있습니다.

프로시저

  1. 웹 브라우저에서 다음 URL을 지정하여 Platform Services Controller에 연결합니다.

    https://psc_hostname_or_IP/psc

    내장된 배포에서 Platform Services Controller 호스트 이름 또는 IP 주소는 vCenter Server 호스트 이름 또는 IP 주소와 동일합니다.

  2. administrator@vsphere.local 또는 vCenter Single Sign-On 관리자 그룹에 속한 다른 멤버의 사용자 이름과 암호를 지정합니다.

    설치 시 다른 도메인을 지정한 경우에는 administrator@mydomain으로 로그인합니다.

  3. Single Sign-On > 구성으로 이동합니다.
  4. 인증서 해지 설정을 클릭하고 해지 확인을 사용하거나 사용하지 않도록 설정합니다.
  5. 현재 환경에 인증서 정책이 적용되어 있으면 수락된 인증서 정책 창에서 정책을 추가할 수 있습니다.