您可以自訂憑證撤銷檢查,並可指定 vCenter Single Sign-On 尋找已撤銷憑證之相關資訊的位置。
您可以使用 vSphere Client 或 sso-config 指令碼自訂行為。您選取的設定部分取決於 CA 的支援情況。
- 如果停用撤銷檢查,vCenter Single Sign-On 將略過任何 CRL 或 OCSP 設定。vCenter Single Sign-On 不會對任何憑證執行檢查。
- 如果啟用撤銷檢查,則設定取決於 PKI 設定。
-
僅使用 OCSP
-
如果核發 CA 支援 OCSP 回應程式,請啟用
OCSP 並停用
CRL 做為 OCSP 的容錯移轉。
-
僅使用 CRL
-
如果核發 CA 不支援 OSCP,請啟用
CRL 檢查並停用
OSCP 檢查。
-
同時使用 OSCP 和 CRL
-
如果核發 CA 同時支援 OCSP 回應程式和 CRL,vCenter Single Sign-On 將先檢查 OCSP 回應程式。如果回應程式傳回未知狀態或無法使用,vCenter Single Sign-On 會檢查 CRL。在此情況下,請同時啟用
OCSP 檢查和
CRL 檢查,並啟用
CRL 做為 OCSP 的容錯移轉。
- 如果啟用撤銷檢查,進階使用者可以指定下列其他設定。
-
OSCP URL
-
依預設,vCenter Single Sign-On 將檢查正在接受驗證之憑證中所定義的 OCSP 回應程式的位置。如果憑證中不存在授權資訊存取延伸,或者您想要將其覆寫,您可以明確指定位置。
-
使用來自憑證的 CRL
-
依預設,vCenter Single Sign-On 會檢查正在接受驗證之憑證中所定義的 CRL 的位置。如果憑證中不存在 CRL 散發點延伸,或者您想要覆寫預設值時,請停用此選項。
-
CRL 位置
-
如果您停用
使用來自憑證的 CRL,並且想要指定 CRL 所在的位置 (檔案或 HTTP URL),請使用此內容。
您可以透過新增憑證原則,進一步限制 vCenter Single Sign-On 接受的憑證。
必要條件
- 確認環境中已設定企業公開金鑰基礎結構 (PKI),並且憑證符合下列需求:
- 確認 vCenter Server 憑證受使用者的工作站信任。否則,瀏覽器不會嘗試驗證。
- 將 Active Directory 身分識別來源新增到 vCenter Single Sign-On。
- 將 vCenter Server 管理員角色指派給 Active Directory 身分識別來源中的一或多個使用者。然後,這些使用者便可以執行管理工作,因為他們可以驗證並具有 vCenter Server 管理員權限。
程序
- 使用 vSphere Client 登入 vCenter Server。
- 指定 [email protected] 或 vCenter Single Sign-On 管理員群組的其他成員的使用者名稱和密碼。
如果在安裝期間指定了其他網域,請以 administrator@
mydomain 身分登入。
- 導覽至組態 UI。
- 從首頁功能表中,選取管理。
- 在 Single Sign On 下,按一下組態。
- 在身分識別提供者索引標籤下,按一下智慧卡驗證。
- 按一下憑證撤銷,然後按一下編輯以啟用或停用撤銷檢查。
- 如果憑證原則已在您的環境中生效,您可以在憑證原則窗格中新增原則。