在啟用智慧卡驗證之前,您必須先在 Platform Services Controller 系統上設定反向 Proxy。如果您的環境使用內嵌式 Platform Services Controller,則您在同時執行 vCenter ServerPlatform Services Controller 的系統上執行此工作。

執行這項作業的原因和時機

vSphere 6.5 及更新版本中需要反向 Proxy 組態。

先決條件

將 CA 憑證複製到 Platform Services Controller 系統上。

程序

  1. 登入 Platform Services Controller

    作業系統

    說明

    應用裝置

    以根使用者身分登入應用裝置 shell。

    Windows

    以管理員使用者身分登入 Windows 命令提示字元。

  2. 建立信任用戶端 CA 存放區。

    此存放區將包含用戶端憑證的信任核發 CA 憑證。此處的用戶端是瀏覽器,智慧卡程序會藉由該瀏覽器提示使用者相關資訊。

    下列範例會顯示如何在 Platform Services Controller 應用裝置上建立憑證存放區。

    針對單一憑證:

    cd /usr/lib/vmware-sso/
    openssl x509 -inform PEM -in xyzCompanySmartCardSigningCA.cer > /usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem

    針對多個憑證:

    cd /usr/lib/vmware-sso/
    openssl x509 -inform PEM -in xyzCompanySmartCardSigningCA.cer >> /usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem
    備註︰

    在 Windows 的 Platform Services Controller 上,使用 C:\ProgramData\VMware\vCenterServer\runtime\VMwareSTSService\conf\,並將命令變更為使用反斜線。

  3. 對包括反向 Proxy 定義的 config.xml 檔案進行備份,然後在編輯器中開啟 config.xml

    作業系統

    說明

    應用裝置

    /etc/vmware-rhttpproxy/config.xml

    Windows

    C:\ProgramData\VMware\vCenterServer\cfg\vmware-rhttpproxy\config.xml

  4. 進行下列變更,然後儲存檔案。
    <http>
    <maxConnections> 2048 </maxConnections>
    <requestClientCertificate>true</requestClientCertificate>
    <clientCertificateMaxSize>4096</clientCertificateMaxSize>
    <clientCAListFile>/usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem</clientCAListFile>
    </http>

    config.xml 檔案包含其中某些元素。根據需要取消註解、更新或新增元素。

  5. 重新啟動服務。

    作業系統

    說明

    應用裝置

    /usr/lib/vmware-vmon/vmon-cli --restart rhttpproxy
    

    Windows

    重新啟動作業系統,或從 Service Manager 重新啟動 VMware HTTP Reverse Proxy。