vCenter Server Security Token Service (STS) 是一项发布、验证和续订安全令牌的 Web 服务。
作为令牌颁发者,Security Token Service (STS) 使用私钥对令牌进行签名,并发布公用证书供服务验证令牌签名。vCenter Server 管理 STS 签名证书并将其存储在 VMware Directory Service (vmdir) 中。令牌的生存期可能很长,长期以来可能已由多个密钥中的任何一个进行签名。
STS 将根据主凭据对用户进行身份验证,并构建包含用户属性的 SAML 令牌。
默认情况下,VMware Certificate Authority (VMCA) 会生成 STS 签名证书。您可以使用新的 VMCA 证书刷新 STS 签名证书。您还可以导入默认 STS 签名证书并将其替换为自定义或第三方生成的 STS 签名证书。除非贵公司的安全策略要求替换所有证书,否则不要替换 STS 签名证书。
您可以使用 vSphere Client 执行以下操作:
- 刷新 STS 证书
- 导入并替换自定义和第三方生成的 STS 证书
- 查看 STS 证书详细信息,例如过期日期
您还可以使用命令行替换自定义和第三方生成的 STS 证书。
STS 证书持续时间和过期
全新安装 vSphere 7.0 Update 1 和更高版本将创建持续时间为 10 年的 STS 签名证书。当 STS 签名证书即将过期时,将从 90 天开始发出警报向您警告,每周发送一次,然后还剩七天时每天发送一次。
注: 在某些情况下,替换 STS 签名证书可能会更改证书的持续时间。执行证书替换时,请注意颁发日期和过期日期。