U activeert en configureert verificatie via een certificaat via de functie Beheer van directory's van de vRealize Automation-beheerconsole.

Opmerking: Een systeembeheerder moet een externe connector voor uw vRealize Automation-implementatie configureren als u externe identiteitsproviders zoals Keberos of smartcardverificatie gebruikt.

Voorwaarden

 • Haal het basiscertificaat en de tussencertificaten op van de certificeringsinstantie die de certificaten die door uw gebruikers worden voorgesteld, heeft ondertekend.
 • (Optioneel) Lijst met object-id's (OID's) van geldige certificaatbeleidsregels voor certificaatverificatie.
 • Voor intrekkingscontrole, de bestandslocatie van de CRL, de URL van de OCSP-server.
 • (Optioneel) Bestandslocatie van handtekeningcertificaat van OCSP-antwoord.
 • Inhoud van toestemmingsformulier bij het inschakelen van een toestemmingsformulier voor weergave vóór de verificatie.

Procedure

 1. Ga als tenantbeheerder naar Beheer > Beheer van directory's > Connectoren
 2. Selecteer op de pagina Connectoren de koppeling Werker voor de connector die wordt geconfigureerd.
 3. Klik op Verificatieadapters en klik vervolgens op Certificaatverificatieadapter.
  U wordt omgeleid naar de aanmeldpagina van het identiteitsbeheer.
 4. Klik in de rij Certificaatverificatieadapter op Bewerken.
 5. Configureer de pagina Certificaatverificatieadapter.
  Opmerking: Een sterretje geeft aan dat dit veld moet worden ingevuld. Alle overige velden zijn optioneel.
  Optie Beschrijving
  *Naam Een naam is vereist. De standaardnaam is Certificaatverificatieadapter. U kunt deze naam wijzigen.
  Certificaatadapter inschakelen Schakel het selectievakje in om certificaatverificatie in te schakelen.
  *Basis- en tussen-CA-certificaten Selecteer de certificaatbestanden die moeten worden geüpload. U kunt meerdere basis-CA-certificaten en tussen-CA-certificaten die gecodeerd zijn als DER of PEM, selecteren.
  Geüploade CA-certificaten De geüploade certificaatbestanden worden weergegeven in de sectie Geüploade CA-certificaten van het formulier.

  U moet de service opnieuw opstarten om de nieuwe certificaten beschikbaar te maken.

  Klik op Web Service opnieuw opstarten om de service opnieuw op te starten en de certificaten aan de vertrouwde service toe te voegen.

  Opmerking: Door de service opnieuw op te starten, wordt de certificaatverificatie niet ingeschakeld. Nadat de service opnieuw is opgestart, gaat u verder met de configuratie van deze pagina. Door aan het einde van de pagina op Opslaan te klikken, wordt de certificaatverificatie op de service ingeschakeld.
  E-mail gebruiken als certificaat geen UPN bevat

  Als de User Principal Name (UPN) niet bestaat in het certificaat, schakelt u dit selectievakje in om het kenmerk E-mailadres te gebruiken als de extensie van de Alternatieve naam voor onderwerp om gebruikersaccounts te valideren.

  Certificaatbeleid geaccepteerd Maak een lijst met object-id's die worden geaccepteerd in de certificaatbeleidextensies.

  Voer de object-id's (OID's) in voor het certificaatuitgiftebeleid. Klik op Waarde toevoegen om aanvullende OID's toe te voegen.

  Certificaatintrekking inschakelen Schakel het selectievakje in om certificaatintrekkingscontrole in te schakelen. Dit voorkomt dat gebruikers waarvan de gebruikerscertificaten zijn ingetrokken, verificatie kunnen uitvoeren.
  CRL van certificaten gebruiken Schakel het selectievakje in om de certificaatintrekkingslijst (CRL) te gebruiken die werd gepubliceerd door de certificeringsinstantie die de certificaten heeft uitgegeven om de status van een certificaat (ingetrokken of niet-ingetrokken) te valideren.
  Locatie van CRL Voer het serverbestandspad of het lokale bestandspad in waarvan de CRL moet worden opgehaald.
  OCSP-intrekking inschakelen Schakel het selectievakje in om het certificaatvalidatieprotocol Online Certificate Status Protocol (OCSP) te gebruiken om de intrekkingsstatus van een certificaat op te halen.
  CRL gebruiken als OCSP mislukt Als u zowel CRL als OCSP configureert, kunt u dit vakje inschakelen om terug te vallen op CRL als de OCSP-controle niet beschikbaar is.
  OCSP-nonce verzenden Schakel dit selectievakje in als u wilt dat de unieke id van de OCSP-aanvraag in het antwoord wordt verzonden.
  OCSP URL Als u OCSP-intrekking inschakelt, voert u het OCSP-serveradres voor intrekkingscontrole in.
  Handtekeningcertificaat van OCSP-responder Voer het pad in naar het OCSP-certificaat voor de responder, /path/to/file.cer.
  Toestemmingsformulier inschakelen vóór verificatie Schakel dit selectievakje in om een pagina met een toestemmingsformulier te laten weergeven voordat gebruikers zich bij het portaal Mijn apps aanmelden met behulp van certificaatverificatie.
  Inhoud van toestemmingsformulier Typ in dit tekstvak de tekst die in het toestemmingsformulier moet worden weergegeven.
 6. Klik op Opslaan.

Volgende stappen

 • Voeg de verificatiemethode via een certificaat toe aan het standaardtoegangsbeleid. Ga naar Beheer > Beheer van directory's > Beleid en klik op Standaardbeleid bewerken om de standaardbeleidsregels te bewerken, Certificaat toe te voegen en dit de eerste verificatiemethode te maken voor het standaardbeleid. Certificaat moet de eerste verificatiemethode zijn die in de beleidsregel wordt weergegeven. Anders mislukt certificaatverificatie.
 • Als Certificaatverificatie is geconfigureerd en de servertoepassing wordt ingesteld achter een load balancer, dan zorgt u ervoor dat de Directories ManagementConnector is geconfigureerd met SSL-passthrough op de load balancer en dat deze niet is geconfigureerd om SSL op de load balancer te beëindigen. Deze configuratie zorgt ervoor dat de SSL-handshake plaatsvindt tussen de connector en de client om het certificaat door te geven naar de connector.