Você pode substituir o certificado STS do vCenter Server por um certificado gerado de forma personalizada ou de terceiros usando a CLI.

Para usar um certificado necessário da empresa ou para atualizar um certificado que está prestes a expirar, você pode substituir o certificado de assinatura do STS existente. Para substituir o certificado de assinatura STS padrão, primeiro você deve gerar um novo certificado.

O certificado STS não é um certificado externo. Não substitua este certificado, a menos que a política de segurança da sua empresa exija.

Cuidado: Você deve usar os procedimentos descritos aqui. Não substitua o certificado diretamente no sistema de arquivos.

Pré-requisitos

Ative o login SSH para vCenter Server. Consulte o Gerenciar vCenter Server a partir do Shell do vCenter Server.

Procedimento

  1. Faça login no shell vCenter Server como raiz.
  2. Crie um certificado.
    1. Crie um diretório de nível superior para conter o novo certificado e verifique a localização do diretório. 
      mkdir newsts
cd newsts
pwd 
#resulting output: /root/newsts
    2. Copie o arquivo certool.cfg para o novo diretório. 
      cp /usr/lib/vmware-vmca/share/config/certool.cfg /root/newsts
    3. Usando um editor de linha de comando, como o Vim, abra sua cópia do arquivo certool.cfg e edite-o para usar o endereço IP local vCenter Server e o nome do host. O país é obrigatório e deve ter dois caracteres, conforme mostrado no exemplo a seguir. 
      #
# Template file for a CSR request
#

# Country is needed and has to be 2 characters
Country = US
Name = STS
Organization = ExampleInc
OrgUnit = ExampleInc Dev
State = Indiana
Locality = Indianapolis
IPAddress = 10.0.1.32
Email = [email protected]
Hostname = homecenter.exampleinc.local
    4. Gere a chave. 
      /usr/lib/vmware-vmca/bin/certool --server localhost --genkey --privkey=/root/newsts/sts.key --pubkey=/root/newsts/sts.pub
    5. Gere o certificado. 
      /usr/lib/vmware-vmca/bin/certool --gencert --cert=/root/newsts/newsts.cer --privkey=/root/newsts/sts.key --config=/root/newsts/certool.cfg
    6. Crie um arquivo PEM com a cadeia de certificados e a chave privada. 
      cat newsts.cer /var/lib/vmware/vmca/root.cer sts.key > newsts.pem
  3. Atualize o certificado de assinatura do STS, por exemplo: 
    /opt/vmware/bin/sso-config.sh -set_signing_cert -t vsphere.local /root/newsts/newsts.pem
  4. Reinicie o sistema do vCenter Server e qualquer outro sistema do vCenter Server que faça parte de uma configuração do Modo vinculado aprimorado. Consulte o tópico sobre como reinicializar o vCenter Server na documentação do vCenter Server Configuração .
    Para que a autenticação funcione corretamente, você deve reiniciar o vCenter Server. O serviço STS e o vSphere Client são reiniciados.