在啟用智慧卡驗證之前,您必須先在 Platform Services Controller 系統上設定反向 Proxy。如果您的環境使用內嵌式 Platform Services Controller,則您在同時執行 vCenter Server 和 Platform Services Controller 的系統上執行此工作。
vSphere 6.5 及更新版本中需要反向 Proxy 組態。
必要條件
將 CA 憑證複製到 Platform Services Controller 系統上。
程序
- 登入 Platform Services Controller。
| 作業系統 |
說明 |
| 應用裝置 |
以根使用者身分登入應用裝置 shell。 |
| Windows |
以管理員使用者身分登入 Windows 命令提示字元。 |
- 建立信任用戶端 CA 存放區。
此存放區將包含用戶端憑證的信任核發 CA 憑證。此處的用戶端是瀏覽器,智慧卡程序會藉由該瀏覽器提示使用者相關資訊。
下列範例會顯示如何在 Platform Services Controller 應用裝置上建立憑證存放區。
針對單一憑證:
cd /usr/lib/vmware-sso/
openssl x509 -inform PEM -in xyzCompanySmartCardSigningCA.cer > /usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem
針對多個憑證:
cd /usr/lib/vmware-sso/
openssl x509 -inform PEM -in xyzCompanySmartCardSigningCA.cer >> /usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem
備註: 在 Windows 的
Platform Services Controller 上,使用
C:\ProgramData\VMware\vCenterServer\runtime\VMwareSTSService\conf\,並將命令變更為使用反斜線。
- 對包括反向 Proxy 定義的 config.xml 檔案進行備份,然後在編輯器中開啟 config.xml。
| 作業系統 |
說明 |
| 應用裝置 |
/etc/vmware-rhttpproxy/config.xml |
| Windows |
C:\ProgramData\VMware\vCenterServer\cfg\vmware-rhttpproxy\config.xml |
- 進行下列變更,然後儲存檔案。
<http>
<maxConnections> 2048 </maxConnections>
<requestClientCertificate>true</requestClientCertificate>
<clientCertificateMaxSize>4096</clientCertificateMaxSize>
<clientCAListFile>/usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem</clientCAListFile>
</http>
config.xml 檔案包含其中某些元素。根據需要取消註解、更新或新增元素。
- 重新啟動服務。
| 作業系統 |
說明 |
| 應用裝置 |
/usr/lib/vmware-vmon/vmon-cli --restart rhttpproxy
|
| Windows |
重新啟動作業系統,或透過下列步驟重新啟動 VMware HTTP Reverse Proxy:
- 開啟提升權限的命令提示字元。
- 執行下列命令:
cd C:\Program Files\VMware\vCenter Server\bin
service-control --stop vmware-rhttpproxy
service-control --start vmware-rhttpproxy
|
