스마트 카드 인증을 사용하도록 설정하기 전에 vCenter Server 시스템에서 역방향 프록시를 구성해야 합니다.

역방향 프록시 구성은 vSphere 6.5 이상에 필요합니다.

사전 요구 사항

CA 인증서를 vCenter Server 시스템에 복사합니다.

참고: vCenter Server 7.0은 HTTP/2 프로토콜을 지원합니다. vSphere Client를 포함하여, 모든 최신 브라우저 및 애플리케이션은 HTTP/2를 사용하여 vCenter Server에 연결합니다. 하지만 스마트 카드 인증을 위해서는 HTTP/1.1 프로토콜을 사용해야 합니다. 스마트 카드 인증을 사용하도록 설정하면 HTTP/2에 대해 애플리케이션 계층 프로토콜 협상(ALPN, https://tools.ietf.org/html/rfc7301)이 사용되지 않도록 설정되어 브라우저가 HTTP/2를 효과적으로 사용할 수 없게 됩니다. ALPN에 의존하지 않고 HTTP/2만 사용하는 애플리케이션은 계속 작동합니다.

프로시저

  1. vCenter Server 셸에 루트 사용자로 로그인합니다.
  2. 신뢰할 수 있는 클라이언트 CA 저장소를 생성합니다.
    이 저장소는 클라이언트 인증서용으로 사용되고, 신뢰할 수 있는 CA에서 발급한 인증서를 포함합니다. 여기서 클라이언트는 스마트 카드 프로세스가 최종 사용자에게 정보 요청 메시지를 표시하는 브라우저입니다.

    다음 예는 vCenter Server에 인증서 저장소를 생성하는 방법을 보여줍니다.

    단일 인증서:
    cd /usr/lib/vmware-sso/
    openssl x509 -inform PEM -in xyzCompanySmartCardSigningCA.cer > /usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem

    다중 인증서:

    cd /usr/lib/vmware-sso/
    openssl x509 -inform PEM -in xyzCompanySmartCardSigningCA.cer >> /usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem
  3. 역방향 프록시 정의를 포함하는 /etc/vmware-rhttpproxy/config.xml 파일의 백업을 만들고 편집기에서 config.xml을 엽니다.
  4. 다음 사항을 변경하고 파일을 저장합니다.
    <http>
    <maxConnections> 2048 </maxConnections>
    <requestClientCertificate>true</requestClientCertificate>
    <clientCertificateMaxSize>4096</clientCertificateMaxSize>
    <clientCAListFile>/usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem</clientCAListFile>
    </http>
    config.xml 파일에는 이러한 요소 중 일부가 포함되어 있습니다. 필요에 따라 요소의 주석 처리를 제거하거나 요소를 업데이트하거나 추가합니다.
  5. 서비스를 다시 시작합니다.
    /usr/lib/vmware-vmon/vmon-cli --restart rhttpproxy