您可以自訂憑證撤銷檢查,並可指定 vCenter Single Sign-On 在何處尋找已撤銷憑證的相關資訊。

開始之前

  • 確認您的環境使用的是 Platform Services Controller 6.0 版 Update 2 或更新版本,且您使用的是 vCenter Server 6.0 版或更新版本。將 5.5 版節點升級至 6.0 版。

  • 確認環境中已設定企業公開金鑰基礎結構 (PKI),並且憑證符合下列需求:

    • 使用者主體名稱 (UPN) 與主體別名 (SAN) 延伸中的 Active Directory 帳戶相對應。

    • 必須在憑證的 [應用程式原則] 或 [增強金鑰使用方法] 欄位中指定用戶端驗證,否則瀏覽器不會顯示該憑證。

  • 確認 Platform Services Controller Web 介面憑證受使用者工作站信任;否則,瀏覽器不會嘗試驗證。

  • 設定 Active Directory 身分識別來源,並將其新增至 vCenter Single Sign-On 做為身分識別來源。

  • vCenter Server 管理員角色指派給 Active Directory 身分識別來源中的一或多個使用者。隨後這些使用者即可執行驗證,因為他們處於 Active Directory 群組中,且具有 vCenter Server 管理員權限。administrator@vsphere.local 使用者無法執行智慧卡驗證。

  • 如果您想要在環境中使用 Platform Services Controller HA 解決方案,請完成所有 HA 組態,然後再設定智慧卡驗證。請參閱 VMware 知識庫文章 2113085 (Windows) 或 2113315 (vCenter Server Appliance)。

執行這項作業的原因和時機

您可以使用 Platform Services Controller Web 介面或 sso-config 指令碼自訂行為。您選取的設定部分取決於 CA 的支援情況。

  • 如果停用撤銷檢查,vCenter Single Sign-On 將略過任何 CRL 或 OCSP 設定。

  • 如果啟用撤銷檢查,則建議的設定取決於 PKI 設定。

    僅使用 OCSP

    如果核發 CA 支援 OCSP 回應程式,請啟用 OCSP 並停止使用 CRL 做為容錯移轉。

    僅使用 CRL

    如果核發 CA 不支援 OSCP,請啟用 CRL 檢查並停用 OSCP 檢查。

    同時使用 OSCP 和 CRL

    如果核發 CA 同時支援 OCSP 回應程式和 CRL,vCenter Single Sign-On 將先檢查 OCSP 回應程式。如果回應程式傳回未知狀態或無法使用,vCenter Single Sign-On 會檢查 CRL。在此情況下,請同時啟用 OCSP 檢查和 CRL 檢查,並啟用 CRL 做為 OCSP 的容錯移轉。

  • 如果啟用撤銷檢查,進階使用者可以指定下列其他設定。

    OSCP URL

    依預設,vCenter Single Sign-On 將檢查正在接受驗證之憑證中所定義的 OCSP 回應程式的位置。如果憑證中不存在授權機構資訊存取延伸,或者您想要將其覆寫 (例如,由於其無法在您的環境中使用),您可以明確指定位置。

    使用來自憑證的 CRL

    依預設,vCenter Single Sign-On 會檢查正在接受驗證之憑證中所定義的 CRL 的位置。當憑證中不存在 CRL 發佈點延伸,或者您想要覆寫預設值時,請停用此選項。

    CRL 位置

    如果您停用使用來自憑證的 CRL,並且想要指定 CRL 所在的位置 (檔案或 HTTP URL),請使用此內容。

此外,您還可以透過新增憑證原則,進一步限制 vCenter Single Sign-On 接受的憑證。

程序

  1. 從網頁瀏覽器中,透過指定以下 URL 來連線到 Platform Services Controller

    https://psc_hostname_or_IP/psc

    在內嵌式部署中,Platform Services Controller 主機名稱或 IP 位址與 vCenter Server 主機名稱或 IP 位址相同。

  2. 指定 administrator@vsphere.local 或 vCenter Single Sign-On 管理員群組的其他成員的使用者名稱和密碼。

    如果在安裝期間指定了其他網域,請以 administrator@mydomain 身分登入。

  3. 瀏覽到 Single Sign-On > 組態
  4. 按一下憑證撤銷設定,然後啟用或停用撤銷檢查。
  5. 如果憑證原則已在您的環境中生效,您可以在憑證原則已接受窗格中新增原則。