vCenter Single Sign-On服务器包含 Security Token Service (STS)。Security Token Service 是一项发布、验证和续订安全令牌的 Web 服务。现有 Security Token Service 证书过期或更改时,您可以从 vSphere Web Client中手动对其进行刷新。
要获取 SAML 令牌,用户须向安全令牌服务器 (STS) 提供主凭据。主凭据取决于用户类型:
-
解决方案用户
-
有效证书
-
其他用户
-
vCenter Single Sign-On标识源中提供的用户名和密码。
STS 将使用主凭据对用户进行身份验证,并构建包含用户属性的 SAML 令牌。STS 服务会使用其 STS 签名证书对 SAML 令牌进行签名,然后将该令牌分配给用户。默认情况下,将由 VMCA 生成 STS 签名证书。
用户具有 SAML 令牌后,该 SAML 令牌可作为该用户的 HTTP 请求的一部分进行发送(可能通过各种代理进行发送)。只有预期接收方(服务提供程序)可以使用 SAML 令牌中的信息。
如果公司策略需要该信息或如果您要更新过期的证书,则可以在
vSphere Web Client中替换现有 STS 签名证书。
小心: 请勿替换文件系统中的文件。如果替换该文件,则会导致意想不到且难以调试的错误。
注: 替换证书后,必须重新启动节点,以便重新启动
vSphere Web Client服务和 STS 服务。
前提条件
将刚刚添加到 java 密钥库的证书从
Platform Services Controller复制到本地工作站。
-
Platform Services Controller设备
-
certificate_location/keys/root-trust.jks 例如:/keys/root-trust.jks
-
例如:
-
/root/newsts/keys/root-trust.jks
-
Windows 安装
-
certificate_location\root-trust.jks
-
例如:
-
C:\Program Files\VMware\vCenter Server\jre\bin\root-trust.jks
过程
- 以 [email protected] 或拥有 vCenter Single Sign-On 管理员特权的其他用户的身份登录到 vSphere Web Client。
默认情况下,具有
vCenter Single Sign-On 管理员特权的用户位于本地
vCenter Single Sign-On 域 vsphere.local 中的管理员组。
- 导航到配置 UI。
- 在主页菜单中,选择系统管理。
- 在单点登录下,单击配置。
- 依次选择证书选项卡和 STS 签名子选项卡,然后单击添加 STS 签名证书图标。
- 添加证书。
- 单击浏览浏览到包含新证书的密钥库 JKS 文件,然后单击打开。
- 出现提示时键入密码。
- 单击 STS 别名链的顶部,然后单击确定。
- 出现提示时再次键入密码。
- 单击确定。
- 重新启动 Platform Services Controller节点,以启动 STS 服务和 vSphere Web Client。
重新启动之前,身份验证无法正常运行,因此必须重新启动。