인증서 해지 확인을 사용자 지정할 수 있으며 vCenter Single Sign-On이 해지된 인증서에 대한 정보를 검색하는 위치를 지정할 수 있습니다.

vSphere Client를 사용하거나 sso-config 스크립트를 사용하여 동작을 사용자 지정할 수 있습니다. 선택하는 설정은 CA에서 지원하는 기능에 따라 부분적으로 달라집니다.

  • 해지 확인을 사용하지 않도록 설정하면 vCenter Single Sign-On이 모든 CRL 또는 OCSP 설정을 무시합니다. vCenter Single Sign-On은 어떠한 인증서에도 확인을 수행하지 않습니다.
  • 해지 확인을 사용하도록 설정하면 PKI 설정에 따라 권장되는 설정이 달라집니다.
    OCSP 전용
    발급하는 CA에서 OCSP 응답자를 지원하는 경우 OCSP를 사용하도록 설정하고 CRL을 OCSP에 대한 페일오버로 사용을 사용하지 않도록 설정합니다.
    CRL 전용
    발급하는 CA에서 OSCP를 지원하지 않는 경우, CRL 확인을 사용하도록 설정하고 OSCP 확인을 사용하지 않도록 설정합니다.
    OSCP 및 CRL 모두
    발급하는 CA에서 OCSP 응답자와 CRL 둘 모두 지원하는 경우, vCenter Single Sign-On은 OCSP 응답자부터 확인합니다. 응답자가 사용 가능한 상태가 아니거나 알 수 없는 상태를 반환하면 vCenter Single Sign-On은 CRL을 확인합니다. 이 경우에는 OCSP 확인CRL 확인 둘 모두 사용하도록 설정하고 CRL을 OCSP에 대한 페일오버로 사용을 사용하도록 설정합니다.
  • 해지 확인을 사용하도록 설정하면 고급 사용자가 다음과 같은 추가 설정을 지정할 수 있습니다.
    OSCP URL
    기본적으로 vCenter Single Sign-On은 검증 중인 인증서에 정의된 OCSP 응답자의 위치를 확인합니다. 인증서에 기관 정보 액세스 확장이 없거나 확장을 재정의하려는 경우 위치를 명시적으로 지정할 수 있습니다.
    인증서의 CRL 사용
    기본적으로 vCenter Single Sign-On은 검증 중인 인증서에 정의된 CRL의 위치를 확인합니다. CRL 배포 지점 확장이 인증서에 없거나, 기본값을 재정의하려면 이 옵션을 사용하지 않도록 설정합니다.
    CRL 위치
    인증서의 CRL 사용 옵션을 사용하지 않도록 설정하고, CRL의 위치(파일 또는 HTTP URL)를 지정하려면 이 속성을 사용합니다.

인증서 정책을 추가하여 vCenter Single Sign-On이 허용하는 인증서를 추가적으로 제한할 수 있습니다.

사전 요구 사항

  • 환경에서 Platform Services Controller 버전 6.5 이상을 사용하고, 현재 vCenter Server 버전 6.0 이상을 사용하는지 확인합니다. Platform Services Controller 버전 6.0 업데이트 2는 스마트 카드 인증을 지원하지만 설정 절차가 다릅니다.
  • 환경에 엔터프라이즈 PKI(공개 키 인프라)가 설정되어 있고 인증서가 다음과 같은 요구 사항을 충족하는지 확인합니다.
    • UPN(사용자 계정 이름)이 SAN(주체 대체 이름) 확장의 Active Directory 계정에 해당해야 합니다.
    • 인증서가 [애플리케이션 정책] 또는 [고급 키 사용] 필드에 클라이언트 인증을 지정해야 하며 그렇지 않으면 브라우저에 인증서가 표시되지 않습니다.

  • 최종 사용자의 워크스테이션에서 Platform Services Controller 인증서를 신뢰하는지 확인합니다. 신뢰하지 않으면 브라우저가 인증을 시도하지 않습니다.
  • vCenter Single Sign-On에 Active Directory ID 소스를 추가합니다.
  • Active Directory ID 소스에 속한 사용자 한 명 이상에게 vCenter Server 관리자 역할을 할당합니다. 그런 다음 이러한 사용자는 인증될 수 있으며 vCenter Server 관리자 권한이 있기 때문에 관리 작업을 수행할 수 있습니다.
    참고: 기본적으로 vCenter Single Sign-On 도메인의 관리자인 [email protected]은 스마트 카드 인증을 수행할 수 없습니다.

프로시저

  1. vSphere Client를 사용하여 Platform Services Controller에 연결된 vCenter Server에 로그인합니다.
  2. [email protected] 또는 vCenter Single Sign-On 관리자 그룹에 속한 다른 멤버의 사용자 이름과 암호를 지정합니다.
    설치 시 다른 도메인을 지정한 경우에는 administrator@ mydomain으로 로그인합니다.
  3. 구성 UI로 이동합니다.
    1. 메뉴에서 관리를 선택합니다.
    2. Single Sign-On에서 구성을 클릭합니다.
  4. 스마트 카드 인증을 클릭합니다.
  5. 인증서 해지를 클릭한 후 편집을 클릭하여 해지 검사를 사용하거나 사용하지 않도록 설정합니다.
  6. 현재 환경에 인증서 정책이 적용되어 있으면 인증서 정책 창에서 정책을 추가할 수 있습니다.