設定反向 Proxy 以申請用戶端憑證

在啟用智慧卡驗證之前，您必須先在 vCenter Server 系統上設定反向 Proxy。

vSphere 6.5 及更新版本中需要反向 Proxy 組態。

必要條件

將 CA 憑證複製到 vCenter Server 系統上。

備註： vCenter Server 7.0 支援 HTTP/2 通訊協定。所有新型瀏覽器和應用程式 (包括 vSphere Client) 都使用 HTTP/2 連線至 vCenter Server。但是，智慧卡驗證需要使用 HTTP/1.1 通訊協定。啟用智慧卡驗證會停用 HTTP/2 的應用程式層通訊協定協商 (ALPN， https://tools.ietf.org/html/rfc7301)，從而有效防止瀏覽器使用 HTTP/2。僅使用 HTTP/2 (不依賴 ALPN) 的應用程式會繼續運作。

程序

以 root 使用者身分登入 vCenter Server。
建立信任用戶端 CA 存放區。
此存放區包含用戶端憑證的信任核發 CA 憑證。此處的用戶端是瀏覽器，智慧卡程序會藉由該瀏覽器提示使用者相關資訊。
下列範例會顯示如何在 vCenter Server 上建立憑證存放區。
針對單一憑證：
```
cd /usr/lib/vmware-sso/
openssl x509 -inform PEM -in xyzCompanySmartCardSigningCA.cer > /usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem
```
針對多個憑證：
```
cd /usr/lib/vmware-sso/
openssl x509 -inform PEM -in xyzCompanySmartCardSigningCA.cer >> /usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem
```
對包括反向 Proxy 定義的 /etc/vmware-rhttpproxy/config.xml 檔案進行備份，然後在編輯器中開啟 config.xml。

進行下列變更，然後儲存檔案。

<http>
<maxConnections> 2048 </maxConnections>
<requestClientCertificate>true</requestClientCertificate>
<clientCertificateMaxSize>4096</clientCertificateMaxSize>
<clientCAListFile>/usr/lib/vmware-sso/vmware-sts/conf/clienttrustCA.pem</clientCAListFile>
</http>

config.xml 檔案包含其中某些元素。根據需要取消註解、更新或新增元素。

重新啟動服務。

/usr/lib/vmware-vmon/vmon-cli --restart rhttpproxy