O vCenter Server Security Token Service (STS) é um serviço da Web que emite, valida e renova tokens de segurança.
Como emissor de token, o serviço de token de segurança (STS) usa uma chave privada para assinar os tokens e publica os certificados públicos para serviços para verificar a assinatura do token. O vCenter Server gerencia os certificados de assinatura do STS e os armazena no serviço de diretório do VMware (vmdir). Os tokens podem ter uma vida útil significativa e, historicamente, podem ter sido assinados por qualquer uma das várias chaves.
O STS autentica o usuário com base nas credenciais primárias e constrói um token SAML que contém atributos de usuário.
Por padrão, o VMware Certificate Authority (VMCA) gera o certificado de assinatura do STS. Você pode atualizar o certificado de assinatura do STS com um novo certificado VMCA. Você também pode importar e substituir o certificado de assinatura STS padrão por um certificado de assinatura STS personalizado ou gerado por terceiros. Não substitua o certificado de assinatura do STS, a menos que a política de segurança da sua empresa exija a substituição de todos os certificados.
Você pode usar o vSphere Client para:
- Atualizar certificados STS
- Importar e substituir certificados STS personalizados e gerados por terceiros
- Exibir detalhes do certificado STS, como a data de expiração
Você também pode usar a linha de comando para substituir certificados STS personalizados e gerados por terceiros.
Duração e expiração do certificado STS
Uma nova instalação do vSphere 7.0 Update 1 e versões posteriores cria um certificado de assinatura STS com uma duração de 10 anos. Quando um certificado de assinatura do STS está prestes a expirar, um alarme avisa a partir de 90 dias uma vez por semana e, em seguida, diariamente quando faltam sete dias.