OCSP を有効にした後で CAC 認証を使用して vSphere Web Client にログインできない
Article ID: 336212
Updated On:
Products
Issue/Introduction
| OCSP を構成および有効にしてから、CAC カード認証を使用して vSphere Web Client にログインすると失敗して、次のようなエラーが表示されます。 「送信された認証情報を検証できませんでした」 ("Unable to validate the submitted credential") |
Symptoms:
免責事項:これは英文の記事「Unable to login to vSphere Web Client using CAC authentication after enabling OCSP」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。
Environment
Resolution
6.0 Update 3 でサポートされているオプションを使用して代わりの OCSP レスポンダ証明書を設定するには、次の手順を実行します。
sso-config.sh -set_authn_policy -t vsphere.local -ocspUrl http://<CA-FQDN>/ocsp -ocspCert <path_to_ocsp_signing_ca_cert>.cer
Windows の場合:
- ディレクトリにアクセスします
cd <C:\Program Files\Vmware\vCenter Server\Vmware Identity Services\>
- 次のコマンドを実行します。
sso-config.bat
Linux の場合:
- ディレクトリにアクセスします
cd /opt/vmware/bin
- 次のコマンドを実行します。
sso-config.sh
例
sso-config.sh -set_authn_policy -t vsphere.local -ocspUrl http://<OSCPhostname>/ocsp -ocspCert ca_pslab1_com.cer
認証ポリシーを調べ、OCSP の URL と証明書が正しく設定されているかどうかを確認します。
sso-config.sh -get_authn_policy -t vsphere.local
IsPasswordAuthEnabled: true
IsWindowsAuthEnabled: true
IsTLSClientCertAuthnEnabled: true
IsSecurIDAuthnEnabled: false
revocationCheckEnabled: true
useOCSP: true
sendOCSPNonce: false
useCRLAsFailOver: true
OCSPResponderSigningCert: CN=CA, DC=<DC>, DC=com
OCSPUrl: http://<OSCPhostname>/ocsp
useCertCRL: true
CRL CacheSize: 512
CRLUrl: UndefinedConfig
trustedCA: CN=<hostname>-CA, DC=<DC>, DC=com
trustedCA: CN=<hostname2>-CA, DC=<DC>, DC=<DC2>, DC=com
Additional Information
Feedback
