启用 OCSP 后无法使用 CAC 身份验证登录到 vSphere Web Client
search cancel

启用 OCSP 后无法使用 CAC 身份验证登录到 vSphere Web Client

book

Article ID: 336223

calendar_today

Updated On:

Products

VMware vCenter Server

Issue/Introduction

免责声明:本文为 Unable to login to vSphere Web Client using CAC authentication after enabling OCSP 的翻译版本。尽管我们会不断努力为本文提供最佳翻译版本,但本地化的内容可能会过时。有关最新内容,请参见英文版本。

配置并启用 OCSP 后,使用 CAC 卡身份验证登录 vSphere Web Client 失败并显示类似以下内容的错误:
无法验证提交的凭据 (Unable to validate the submitted credential)

Environment

VMware vCenter Server 6.0.x

Resolution

使用 6.0 Update 3 中支持的选项设置备用 OCSP 响应者证书

sso-config.sh -set_authn_policy -t vsphere.local -ocspUrl http://<CA-FQDN>/ocsp -ocspCert <path_to_ocsp_signing_ca_cert>.cer

在 Windows 中,

  1. 访问目录

cd <C:\Program Files\Vmware\vCenter Server\Vmware Identity Services\> 

  • 运行命令

sso-config.bat 

在 Linux 中,

  1. 访问目录

cd /opt/vmware/bin 

  • 运行命令

sso-config.sh 

例如: 
sso-config.sh -set_authn_policy -t vsphere.local -ocspUrl http://<OSCPhostname>/ocsp -ocspCert ca_pslab1_com.cer

检查身份验证策略以查看 OCSP URL 和证书的设置是否正确。

sso-config.sh -get_authn_policy -t vsphere.local

IsPasswordAuthEnabled: true
IsWindowsAuthEnabled: true
IsTLSClientCertAuthnEnabled: true
IsSecurIDAuthnEnabled: false
revocationCheckEnabled: true
useOCSP: true
sendOCSPNonce: false
useCRLAsFailOver: true 
OCSPResponderSigningCert: CN=CA, DC=<DC>, DC=com
OCSPUrl: http://<OSCPhostname>/ocsp

useCertCRL: true
CRL CacheSize: 512
CRLUrl: UndefinedConfig
trustedCA: CN=<hostname>-CA, DC=<DC>, DC=com
trustedCA: CN=<hostname2>-CA, DC=<DC>, DC=<DC2>, DC=com

Additional Information

Powered by Wolken Software