인증서 해지 확인을 사용자 지정할 수 있으며 vCenter Single Sign-On이 해지된 인증서에 대한 정보를 검색하는 위치를 지정할 수 있습니다.
vSphere Client를 사용하거나 sso-config 스크립트를 사용하여 동작을 사용자 지정할 수 있습니다. 선택하는 설정은 CA에서 지원하는 기능에 따라 부분적으로 달라집니다.
- 해지 확인을 사용하지 않도록 설정하면 vCenter Single Sign-On이 모든 CRL 또는 OCSP 설정을 무시합니다. vCenter Single Sign-On은 어떠한 인증서에도 확인을 수행하지 않습니다.
- 해지 확인을 사용하도록 설정하면 PKI 설정에 따라 설정이 달라집니다.
- OCSP 전용
- 발급하는 CA에서 OCSP 응답자를 지원하는 경우 OCSP를 사용하도록 설정하고 CRL을 OCSP에 대한 페일오버로 사용을 사용하지 않도록 설정합니다.
- CRL 전용
- 발급하는 CA에서 OSCP를 지원하지 않는 경우, CRL 확인을 사용하도록 설정하고 OSCP 확인을 사용하지 않도록 설정합니다.
- OSCP 및 CRL 모두
- 발급하는 CA에서 OCSP 응답자와 CRL 둘 모두 지원하는 경우, vCenter Single Sign-On은 OCSP 응답자부터 확인합니다. 응답자가 사용 가능한 상태가 아니거나 알 수 없는 상태를 반환하면 vCenter Single Sign-On은 CRL을 확인합니다. 이 경우에는 OCSP 확인 및 CRL 확인 둘 모두 사용하도록 설정하고 CRL을 OCSP에 대한 페일오버로 사용을 사용하도록 설정합니다.
- 해지 확인을 사용하도록 설정하면 고급 사용자가 다음과 같은 추가 설정을 지정할 수 있습니다.
- OSCP URL
- 기본적으로 vCenter Single Sign-On은 검증 중인 인증서에 정의된 OCSP 응답자의 위치를 확인합니다. 인증서에 기관 정보 액세스 확장이 없거나 확장을 재정의하려는 경우 위치를 명시적으로 지정할 수 있습니다.
- 인증서의 CRL 사용
- 기본적으로 vCenter Single Sign-On은 검증 중인 인증서에 정의된 CRL의 위치를 확인합니다. CRL 배포 지점 확장이 인증서에 없거나, 기본값을 재정의하려면 이 옵션을 사용하지 않도록 설정합니다.
- CRL 위치
- 인증서의 CRL 사용 옵션을 사용하지 않도록 설정하고, CRL의 위치(파일 또는 HTTP URL)를 지정하려면 이 속성을 사용합니다.
인증서 정책을 추가하여 vCenter Single Sign-On이 허용하는 인증서를 추가적으로 제한할 수 있습니다.
사전 요구 사항
- 환경에 엔터프라이즈 PKI(공개 키 인프라)가 설정되어 있고 인증서가 다음과 같은 요구 사항을 충족하는지 확인합니다.
- UPN(사용자 계정 이름)이 SAN(주체 대체 이름) 확장의 Active Directory 계정에 해당해야 합니다.
-
인증서가 [애플리케이션 정책] 또는 [확장 키 사용] 필드에 클라이언트 인증을 지정해야 하며 그렇지 않으면 브라우저에 인증서가 표시되지 않습니다.
- 최종 사용자의 워크스테이션에서 vCenter Server 인증서를 신뢰하는지 확인합니다. 신뢰하지 않으면 브라우저가 인증을 시도하지 않습니다.
- vCenter Single Sign-On에 Active Directory ID 소스를 추가합니다.
- Active Directory ID 소스에 속한 사용자 한 명 이상에게 vCenter Server 관리자 역할을 할당합니다. 그런 다음 이러한 사용자는 인증될 수 있으며 vCenter Server 관리자 권한이 있기 때문에 관리 작업을 수행할 수 있습니다.