O vCenter Server Serviço de Token de Segurança (STS) é um serviço do Web que emite, valida e renova tokens de segurança.

Como emissor de token, o Serviço de Token de Segurança (STS) usa uma chave privada para assinar os tokens e publica os certificados públicos dos serviços para verificar a assinatura do token. vCenter Server gerencia os certificados de assinatura do STS e os armazena no VMware Serviço de Diretório (vmdir). Os tokens podem ter um tempo de vida significativo e, historicamente, podem ter sido assinados por qualquer uma das várias chaves.

Os usuários apresentam suas credenciais primárias à interface do STS para adquirir tokens. A credencial principal depende do tipo de usuário.

Tabela 1. Usuários e credenciais do STS
Tipo de usuário Credenciais principais
Usuário da solução Certificado válido.
Outros usuários Nome de usuário e senha disponíveis em uma origem de identidade vCenter Single Sign-On.

O STS autentica o usuário com base nas credenciais primárias e cria um token SAML que contém os atributos do usuário.

Por padrão, o VMware Certificate Authority (VMCA) gera o certificado de assinatura do STS. Você pode atualizar o certificado de assinatura do STS com um novo certificado VMCA. Você também pode importar e substituir o certificado de assinatura do STS padrão por um certificado de assinatura do STS personalizado ou gerado por terceiros. Não substitua o certificado de assinatura do STS, a menos que a política de segurança de sua empresa exija a substituição de todos os certificados.

Você pode usar o vSphere Client para:

  • Atualizar certificados STS
  • Importar e substituir certificados STS personalizados e gerados por terceiros
  • Exibir detalhes do certificado STS, como a data de validade

Você também pode usar a linha de comando para substituir certificados STS personalizados e gerados por terceiros.

Duração e expiração do certificado STS

Uma nova instalação do vSphere 7.0 Update 1 e versões posteriores cria um certificado de assinatura do STS com uma duração de 10 anos. Quando um certificado de assinatura do STS está prestes a expirar, um alarme avisa você a partir de 90 dias uma vez por semana e, em seguida, diariamente, quando faltarem sete dias.

Observação: Em determinadas circunstâncias, a substituição dos certificados de assinatura do STS pode alterar a duração dos certificados. Ao realizar a substituição do certificado, preste atenção às datas de emissão e validade.

Renovação automática do certificado STS

No vSphere 8.0 e posterior, o vCenter Single Sign-On renova automaticamente um certificado de assinatura do STS gerado pela VMCA. A renovação automática ocorre antes que o certificado de assinatura do STS expire e antes de acionar o alarme de expiração de 90 dias. Se a renovação automática falhar, vCenter Single Sign-On criará uma mensagem de erro no arquivo de log. Se necessário, você pode atualizar o certificado de assinatura do STS manualmente.

Observação: vCenter Single Sign-On não realiza a renovação automática de certificados de assinatura do STS gerados de forma personalizada ou de terceiros.

Atualizando, importando e substituindo certificados STS

No vSphere 8.0 e posterior, a atualização ou importação e substituição dos certificados de assinatura do STS não requer uma reinicialização do vCenter Server e, portanto, evita qualquer tempo de inatividade. Além disso, em uma configuração vinculada, a atualização ou importação e substituição dos certificados de assinatura do STS em um único vCenter Server atualiza os certificados do STS em todos os sistemas vCenter Server vinculados.

Observação: Em determinadas circunstâncias, uma atualização ou importação e substituição de certificados de assinatura do STS pode exigir que você reinicie manualmente os sistemas vCenter Server.

Atualizar um certificado STS vCenter Server usando o vSphere Client

Você pode atualizar seus vCenter Server certificados de assinatura do STS usando o vSphere Client. O VMware Certificate Authority (VMCA) emite um novo certificado e substitui o certificado atual.

Quando você atualiza os certificados de assinatura do STS, o VMware Certificate Authority (VMCA) emite um novo certificado e substitui o certificado atual no VMware Serviço de Diretório (vmdir). O STS começa a usar o novo certificado para emitir novos tokens. Em uma configuração de Modo Vinculado Avançado, o vmdir carrega o novo certificado do sistema vCenter Server emissor para todos os sistemas vCenter Server vinculados. Ao atualizar certificados de assinatura do STS, você não precisa reiniciar o sistema vCenter Server, nem qualquer outro sistema vCenter Server que faça parte de uma configuração de Modo Vinculado Avançado.

Se você estiver usando um certificado de assinatura do STS gerado de forma personalizada ou de terceiros, a atualização substituirá esse certificado por um certificado emitido pela VMCA. Para atualizar certificados de assinatura do STS gerados de forma personalizada ou de terceiros, use a opção de importação e substituição. Consulte Importar e substituir um certificado STS vCenter Server usando o vSphere Client.

O certificado de assinatura do STS emitido pela VMCA é válido por 10 anos e não é um certificado externo. Não substitua este certificado, a menos que a política de segurança de sua empresa o exija.

Pré-requisitos

Para o gerenciamento de certificados, você deve fornecer a senha do administrador do domínio local ([email protected] por padrão). Se você estiver renovando certificados, também deverá fornecer as credenciais vCenter Single Sign-On para um usuário com privilégios de administrador no sistema vCenter Server.

Procedimento

  1. Faça login com o vSphere Client no vCenter Server.
  2. Especifique o nome de usuário e a senha para [email protected] ou outro membro do grupo vCenter Single Sign-On Administradores.
    Se você especificou um domínio diferente durante a instalação, faça login como administrador@ meudomínio.
  3. Navegue até a UI de Gerenciamento de Certificados.
    1. No menu Início (Home), selecione Administração (Administration).
    2. Em Certificados (Certificates), clique em Gerenciamento de certificados (Certificate Management).
  4. Se o sistema solicitar, insira as credenciais do seu vCenter Server.
  5. Em Certificado de assinatura do STS (STS Signing Certificate), clique em Ações (Actions) > Atualizar com certificado vCenter.
    Se você estiver usando um certificado de assinatura do STS gerado de forma personalizada ou de terceiros, a ação de atualização substituirá esse certificado por um certificado gerado pela VMCA.
    Observação: Se você estava usando certificados de terceiros por motivos de conformidade, a atualização pode fazer com que seus sistemas vCenter Server deixem de estar em conformidade. Além disso, se você estiver usando um certificado de assinatura STS de terceiros ou gerado de forma personalizada, o Serviço de Token de Segurança não usará mais esse certificado personalizado ou de terceiros para assinatura de token.
  6. Clique em Atualizar (Refresh).
    A VMCA atualiza o certificado de assinatura do STS neste sistema vCenter Server e em qualquer sistema vCenter Server vinculado.
  7. (Opcional) Se o botão Forçar atualização (Force Refresh) for exibido, o vCenter Single Sign-On detectou um problema. Antes de clicar em Forçar atualização (Force Refresh), considere os seguintes resultados em potencial.
    • Se todos os sistemas vCenter Server afetados não estiverem executando pelo menos o vSphere 7.0 Update 3, eles não oferecerão suporte à atualização do certificado.
    • A seleção de Forçar atualização (Force Refresh) requer que você reinicie todos os vCenter Server sistemas e pode tornar esses sistemas inoperantes até que você faça isso.
    1. Se você não tiver certeza do impacto, clique em Cancelar (Cancel) e pesquise seu ambiente.
    2. Se tiver certeza do impacto, clique em Forçar atualização (Force Refresh) para continuar com a atualização e reinicie manualmente seus sistemas vCenter Server.

Importar e substituir um certificado STS vCenter Server usando o vSphere Client

Você pode importar e substituir o certificado STS vCenter Server por um certificado gerado de forma personalizada ou de terceiros usando o vSphere Client.

Para importar e substituir o certificado de assinatura do STS padrão, você deve primeiro gerar um novo certificado. Quando você importa e substitui certificados de assinatura do STS, o Serviço de Diretório VMware (vmdir) carrega o novo certificado do sistema vCenter Server emissor para todos os sistemas vCenter Server vinculados.

O certificado STS não é um certificado externo. Não substitua este certificado, a menos que a política de segurança de sua empresa o exija.

Pré-requisitos

Para o gerenciamento de certificados, você deve fornecer a senha do administrador do domínio local ([email protected] por padrão). Você também deve fornecer as credenciais vCenter Single Sign-On para um usuário com privilégios de administrador no sistema vCenter Server.

Procedimento

  1. Faça login com o vSphere Client no vCenter Server.
  2. Especifique o nome de usuário e a senha para [email protected] ou outro membro do grupo vCenter Single Sign-On Administradores.
    Se você especificou um domínio diferente durante a instalação, faça login como administrador@ meudomínio.
  3. Navegue até a UI de Gerenciamento de Certificados.
    1. No menu Início (Home), selecione Administração (Administration).
    2. Em Certificados (Certificates), clique em Gerenciamento de certificados (Certificate Management).
  4. Se o sistema solicitar, insira as credenciais do seu vCenter Server.
  5. Em Certificado de assinatura do STS (STS Signing Certificate), clique em Ações (Actions) > Importar e substituir (Import and Replace).
  6. Selecione o arquivo PEM.
    O arquivo PEM inclui a cadeia de certificados de assinatura e a chave privada.
  7. Clique em Substituir (Replace).
    O certificado de assinatura do STS é substituído neste sistema vCenter Server e em qualquer sistema vCenter Server vinculado. A menos que indicado de outra forma, você não precisa reiniciar os sistemas vCenter Server.

Substituir um certificado STS vCenter Server usando a linha de comando

Você pode substituir o certificado STS vCenter Server por um certificado gerado de forma personalizada ou de terceiros usando a CLI.

Para usar um certificado exigido pela empresa ou para atualizar um certificado que está prestes a expirar, você pode substituir o certificado de assinatura do STS existente. Para substituir o certificado de assinatura do STS padrão, você deve primeiro gerar um novo certificado.

O certificado STS não é um certificado externo. Não substitua este certificado, a menos que a política de segurança de sua empresa o exija.

Cuidado: Você deve usar os procedimentos descritos aqui. Não substitua o certificado diretamente no sistema de arquivos.

Pré-requisitos

Ative o login SSH para vCenter Server. Consulte Gerenciar o vCenter Server usando o Shell do vCenter Server.

Procedimento

  1. Faça login no shell vCenter Server como root.
  2. Crie um certificado.
    1. Crie um diretório de nível superior para manter o novo certificado e verifique a localização do diretório. 
      mkdir newsts
cd newsts
pwd 
#resulting output: /root/newsts
    2. Copie o arquivo certool.cfg no novo diretório. 
      cp /usr/lib/vmware-vmca/share/config/certool.cfg /root/newsts
    3. Usando um editor de linha de comando como o Vim, abra sua cópia do arquivo certool.cfg e edite-a para usar o endereço IP e o nome do host vCenter Server locais. O país é obrigatório e deve ter dois caracteres, conforme mostrado no exemplo a seguir. 
      #
# Template file for a CSR request
#

# Country is needed and has to be 2 characters
Country = US
Name = STS
Organization = ExampleInc
OrgUnit = ExampleInc Dev
State = Indiana
Locality = Indianapolis
IPAddress = 10.0.1.32
Email = [email protected]
Hostname = homecenter.exampleinc.local
    4. Gere a chave. 
      /usr/lib/vmware-vmca/bin/certool --server localhost --genkey --privkey=/root/newsts/sts.key --pubkey=/root/newsts/sts.pub
    5. Gere o certificado. 
      /usr/lib/vmware-vmca/bin/certool --gencert --cert=/root/newsts/newsts.cer --privkey=/root/newsts/sts.key --config=/root/newsts/certool.cfg
    6. Crie um arquivo PEM com a cadeia de certificados e a chave privada. 
      cat newsts.cer /var/lib/vmware/vmca/root.cer sts.key > newsts.pem
  3. Atualize o certificado de assinatura do STS, por exemplo: 
    /opt/vmware/bin/sso-config.sh -set_signing_cert -t vsphere.local /root/newsts/newsts.pem
    A VMCA atualiza o certificado de assinatura do STS neste sistema vCenter Server e em qualquer sistema vCenter Server vinculado.

Visualizar a cadeia de certificados de assinatura STS ativa do vCenter Server usando o vSphere Client

Você pode usar o vSphere Client para exibir a cadeia de certificados de assinatura do STS vCenter Server ativa.

Você pode visualizar as seguintes informações sobre o certificado STS ativo.

  • Data "Válido até"
  • Uma verificação verde para um certificado válido e um aviso de verificação laranja de um certificado expirado
  • Um link Exibir detalhes (View Details) para mostrar a cadeia de certificados ativa

Procedimento

  1. Faça login com o vSphere Client no vCenter Server.
  2. Digite o nome de usuário e a senha de um usuário que tenha pelo menos privilégios de Leitura.
  3. Navegue até a UI de Gerenciamento de Certificados.
    1. No menu Início (Home), selecione Administração (Administration).
    2. Em Certificados (Certificates), clique em Gerenciamento de certificados (Certificate Management).
  4. Se o sistema solicitar, insira as credenciais do seu vCenter Server.
  5. Para visualizar os detalhes do certificado STS ativo, clique em Exibir detalhes (View Details).

Determinar a data de expiração de um certificado SSL LDAPS usando a linha de comando

Ao usar Active Directory sobre LDAPS, você pode carregar um certificado SSL para o tráfego LDAP. Os certificados SSL expiram após uma vida útil predefinida. Você pode usar o comando sso-config.sh para visualizar a data de expiração do certificado para que você saiba que deve substituir ou renovar o certificado antes que ele expire.

vCenter Server alerta você quando um certificado SSL LDAP ativo está próximo de sua data de expiração.

Você verá as informações de expiração do certificado somente se usar Active Directory sobre LDAP ou uma fonte de identidade OpenLDAP e especificar uma URL ldaps:// para o servidor.

Pré-requisitos

Ative o login SSH para vCenter Server. Consulte Gerenciar o vCenter Server usando o Shell do vCenter Server.

Procedimento

  1. Faça login como root no vCenter Server.
  2. Execute o seguinte comando. 
    /opt/vmware/bin/sso-config.sh -get_identity_sources

    Ignore as mensagens SLF4J.

  3. Para determinar a data de validade, visualize os detalhes do certificado SSL e verifique o campo NotAfter.