스마트 카드 인증을 사용하도록 설정하기 전에 vCenter Server 시스템에서 역방향 프록시를 구성해야 합니다.
역방향 프록시 구성은 vSphere 6.5 이상에 필요합니다.
사전 요구 사항
CA 인증서를 vCenter Server 시스템에 복사합니다.
참고:
vCenter Server 7.0은 HTTP/2 프로토콜을 지원합니다.
vSphere Client를 포함하여, 모든 최신 브라우저 및 애플리케이션은 HTTP/2를 사용하여
vCenter Server에 연결합니다. 하지만 스마트 카드 인증을 위해서는 HTTP/1.1 프로토콜을 사용해야 합니다. 스마트 카드 인증을 사용하도록 설정하면 HTTP/2에 대해 애플리케이션 계층 프로토콜 협상(ALPN,
https://tools.ietf.org/html/rfc7301)이 사용되지 않도록 설정되어 브라우저가 HTTP/2를 효과적으로 사용할 수 없게 됩니다. ALPN에 의존하지 않고 HTTP/2만 사용하는 애플리케이션은 계속 작동합니다.
프로시저
- vCenter Server 셸에 루트 사용자로 로그인합니다.
- 신뢰할 수 있는 클라이언트 CA 저장소를 생성합니다.
이 저장소는 클라이언트 인증서용으로 사용되고, 신뢰할 수 있는 CA에서 발급한 인증서를 포함합니다. 여기서 클라이언트는 스마트 카드 프로세스가 최종 사용자에게 정보 요청 메시지를 표시하는 브라우저입니다.
다음 예는 vCenter Server에 인증서 저장소를 생성하는 방법을 보여줍니다.
단일 인증서:
cd /usr/lib/vmware-sso/
openssl x509 -inform PEM -in xyzCompanySmartCardSigningCA.cer > /usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem
다중 인증서:
cd /usr/lib/vmware-sso/
openssl x509 -inform PEM -in xyzCompanySmartCardSigningCA.cer >> /usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem
- 역방향 프록시 정의를 포함하는 /etc/vmware-rhttpproxy/config.xml 파일의 백업을 만들고 편집기에서 config.xml을 엽니다.
- 다음 사항을 변경하고 파일을 저장합니다.
<http>
<maxConnections> 2048 </maxConnections>
<requestClientCertificate>true</requestClientCertificate>
<clientCertificateMaxSize>4096</clientCertificateMaxSize>
<clientCAListFile>/usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem</clientCAListFile>
</http>
config.xml 파일에는 이러한 요소 중 일부가 포함되어 있습니다. 필요에 따라 요소의 주석 처리를 제거하거나 요소를 업데이트하거나 추가합니다.
- 서비스를 다시 시작합니다.
/usr/lib/vmware-vmon/vmon-cli --restart rhttpproxy
