vCenter Single Sign-On服务器包含 Security Token Service (STS)。Security Token Service 是一项发布、验证和续订安全令牌的 Web 服务。现有 Security Token Service 证书过期或更改时,您可以从 vSphere Web Client中手动对其进行刷新。

要获取 SAML 令牌,用户须向安全令牌服务器 (STS) 提供主凭据。主凭据取决于用户类型:
解决方案用户
有效证书
其他用户
vCenter Single Sign-On标识源中提供的用户名和密码。

STS 将使用主凭据对用户进行身份验证,并构建包含用户属性的 SAML 令牌。STS 服务会使用其 STS 签名证书对 SAML 令牌进行签名,然后将该令牌分配给用户。默认情况下,将由 VMCA 生成 STS 签名证书。

用户具有 SAML 令牌后,该 SAML 令牌可作为该用户的 HTTP 请求的一部分进行发送(可能通过各种代理进行发送)。只有预期接收方(服务提供程序)可以使用 SAML 令牌中的信息。

如果公司策略需要该信息或如果您要更新过期的证书,则可以在 vSphere Web Client中替换现有 STS 签名证书。
小心: 请勿替换文件系统中的文件。如果替换该文件,则会导致意想不到且难以调试的错误。
注: 替换证书后,必须重新启动节点,以便重新启动 vSphere Web Client服务和 STS 服务。

前提条件

将刚刚添加到 java 密钥库的证书从 Platform Services Controller复制到本地工作站。
Platform Services Controller设备
certificate_location/keys/root-trust.jks 例如:/keys/root-trust.jks
例如:
/root/newsts/keys/root-trust.jks
Windows 安装
certificate_location\root-trust.jks
例如:
C:\Program Files\VMware\vCenter Server\jre\bin\root-trust.jks

过程

  1. [email protected] 或拥有 vCenter Single Sign-On 管理员特权的其他用户的身份登录到 vSphere Web Client
    默认情况下,具有 vCenter Single Sign-On 管理员特权的用户位于本地 vCenter Single Sign-On 域 vsphere.local 中的管理员组。
  2. 导航到配置 UI。
    1. 主页菜单中,选择系统管理
    2. 单点登录下,单击配置
  3. 依次选择证书选项卡和 STS 签名子选项卡,然后单击添加 STS 签名证书图标。
  4. 添加证书。
    1. 单击浏览浏览到包含新证书的密钥库 JKS 文件,然后单击打开
    2. 出现提示时键入密码。
    3. 单击 STS 别名链的顶部,然后单击确定
    4. 出现提示时再次键入密码。
  5. 单击确定
  6. 重新启动 Platform Services Controller节点,以启动 STS 服务和 vSphere Web Client
    重新启动之前,身份验证无法正常运行,因此必须重新启动。