您可以自訂憑證撤銷檢查,並可指定 vCenter Single Sign-On 尋找已撤銷憑證之相關資訊的位置。

您可以使用 vSphere Clientsso-config 指令碼自訂行為。您選取的設定部分取決於 CA 的支援情況。

  • 如果停用撤銷檢查,vCenter Single Sign-On 將略過任何 CRL 或 OCSP 設定。vCenter Single Sign-On 不會對任何憑證執行檢查。
  • 如果啟用撤銷檢查,則建議的設定取決於 PKI 設定。
    僅使用 OCSP
    如果核發 CA 支援 OCSP 回應程式,請啟用 OCSP 並停用 CRL 做為 OCSP 的容錯移轉
    僅使用 CRL
    如果核發 CA 不支援 OSCP,請啟用 CRL 檢查並停用 OSCP 檢查
    同時使用 OSCP 和 CRL
    如果核發 CA 同時支援 OCSP 回應程式和 CRL,vCenter Single Sign-On 將先檢查 OCSP 回應程式。如果回應程式傳回未知狀態或無法使用,vCenter Single Sign-On 會檢查 CRL。在此情況下,請同時啟用 OCSP 檢查CRL 檢查,並啟用 CRL 做為 OCSP 的容錯移轉
  • 如果啟用撤銷檢查,進階使用者可以指定下列其他設定。
    OSCP URL
    依預設,vCenter Single Sign-On 將檢查正在接受驗證之憑證中所定義的 OCSP 回應程式的位置。如果憑證中不存在授權資訊存取延伸,或者您想要將其覆寫,您可以明確指定位置。
    使用來自憑證的 CRL
    依預設,vCenter Single Sign-On 會檢查正在接受驗證之憑證中所定義的 CRL 的位置。如果憑證中不存在 CRL 散發點延伸,或者您想要覆寫預設值時,請停用此選項。
    CRL 位置
    如果您停用 使用來自憑證的 CRL,並且想要指定 CRL 所在的位置 (檔案或 HTTP URL),請使用此內容。

您可以透過新增憑證原則,進一步限制 vCenter Single Sign-On 接受的憑證。

必要條件

  • 確認您的環境使用的是 Platform Services Controller 6.5 版或更新版本,且您使用的是 vCenter Server 6.0 版或更新版本。Platform Services Controller6.0 版 Update 2 支援智慧卡驗證,但是設定程序有所不同。
  • 確認環境中已設定企業公開金鑰基礎結構 (PKI),並且憑證符合下列需求:
    • 使用者主體名稱 (UPN) 必須與主體別名 (SAN) 延伸中的 Active Directory 帳戶相對應。

    • 憑證必須在 [應用程式原則] 或 [增強金鑰使用方法] 欄位中指定 [用戶端驗證],否則瀏覽器不會顯示該憑證。

  • 確認 Platform Services Controller 憑證受使用者的工作站信任。否則,瀏覽器不會嘗試驗證。
  • 將 Active Directory 身分識別來源新增到 vCenter Single Sign-On。
  • vCenter Server管理員角色指派給 Active Directory 身分識別來源中的一或多個使用者。然後,這些使用者便可以執行管理工作,因為他們可以驗證並具有 vCenter Server管理員權限。
    備註: vCenter Single Sign-On 網域的管理員 (依預設為 [email protected]) 無法執行智慧卡驗證。

程序

  1. 使用 vSphere Client登入連線到 Platform Services ControllervCenter Server
  2. 指定 [email protected] 或 vCenter Single Sign-On 管理員群組的其他成員的使用者名稱和密碼。
    如果在安裝期間指定了其他網域,請以 administrator@ mydomain 身分登入。
  3. 導覽至組態 UI。
    1. 首頁功能表中,選取管理
    2. Single Sign On 下,按一下組態
  4. 按一下智慧卡驗證
  5. 按一下憑證撤銷,然後按一下編輯以啟用或停用撤銷檢查。
  6. 如果憑證原則已在您的環境中生效,您可以在憑證原則窗格中新增原則。