vCenter Single Sign-On 服务器包含安全令牌服务 (STS)。安全令牌服务是一项发布、验证和续订安全令牌的 Web 服务。现有安全令牌服务证书过期或更改时,您可以从 vSphere Web Client 中手动对其进行刷新。

开始之前

将刚刚添加到 java 密钥库的证书从 Platform Services Controller 复制到本地工作站。

Platform Services Controller 设备

certificate_location/keys/root-trust.jks 例如:/keys/root-trust.jks

例如:

/root/newsts/keys/root-trust.jks

Windows 安装

certificate_location\root-trust.jks

例如:

C:\Program Files\VMware\vCenter Server\jre\bin\root-trust.jks

关于此任务

要获取 SAML 令牌,用户须向安全令牌服务器 (STS) 提供主凭据。主凭据取决于用户类型:

解决方案用户

有效证书

其他用户

vCenter Single Sign-On 标识源中提供的用户名和密码。

STS 将使用主凭据对用户进行身份验证,并构建包含用户属性的 SAML 令牌。STS 服务会使用其 STS 签名证书对 SAML 令牌进行签名,然后将该令牌分配给用户。默认情况下,将由 VMCA 生成 STS 签名证书。

用户具有 SAML 令牌后,该 SAML 令牌可作为该用户的 HTTP 请求的一部分进行发送(可能通过各种代理进行发送)。只有预期接收方(服务提供程序)可以使用 SAML 令牌中的信息。

如果公司策略需要该信息或如果您要更新过期的证书,则可以在 vSphere Web Client 中替换现有 STS 签名证书。

警告:

请勿替换文件系统中的文件。如果替换该文件,则会导致意想不到且难以调试的错误。

注:

替换证书后,必须重新启动节点,以便重新启动 vSphere Web Client 服务和 STS 服务。

过程

  1. 以 administrator@vsphere.local 或拥有 vCenter Single Sign-On 管理员特权的其他用户的身份登录到 vSphere Web Client

    具有 vCenter Single Sign-On 管理员特权的用户位于 vsphere.local 域的管理员组中。

  2. 依次选择证书选项卡和 STS 签名子选项卡,然后单击添加 STS 签名证书图标。
  3. 添加证书。
    1. 单击浏览浏览到包含新证书的密钥库 JKS 文件,然后单击打开
    2. 出现提示时键入密码。
    3. 单击 STS 别名链的顶部,然后单击确定
    4. 出现提示时再次键入密码。
  4. 单击确定
  5. 重新启动 Platform Services Controller 节点,以启动 STS 服务和 vSphere Web Client

    重新启动之前,身份验证无法正常运行,因此必须重新启动。