可以使用 vSphere Client 刷新 vCenter Server STS 签名证书。VMware Certificate Authority (VMCA) 颁发新证书并替换当前证书。

刷新 STS 签名证书时,VMware Certificate Authority (VMCA) 会颁发新证书,并替换 VMware Directory Service (vmdir) 中的当前证书。STS 开始使用新证书颁发新令牌。在增强型链接模式配置中,vmdir 会将新证书从颁发 vCenter Server 系统上载到链接的所有 vCenter Server 系统。刷新 STS 签名证书时,必须重新启动 vCenter Server 系统以及增强型链接模式配置中的任何其他 vCenter Server 系统。

如果使用自定义生成的 STS 签名证书或第三方 STS 签名证书,则刷新操作会使用 VMCA 颁发的证书覆盖该证书。要更新自定义生成的或第三方 STS 签名证书,请使用导入和替换选项。请参见使用 vSphere Client 导入并替换 vCenter Server STS 证书

VMCA 颁发的 STS 签名证书的有效期为 10 年且不面向外部。除非贵公司的安全策略需要,否则请勿替换此证书。

前提条件

对于证书管理,您必须提供本地域管理员的密码(默认为 [email protected])。如果要续订证书,还必须为在 vCenter Server 系统上具有管理员特权的用户提供 vCenter Single Sign-On 凭据。

过程

  1. 使用 vSphere Client登录 vCenter Server
  2. [email protected] 或 vCenter Single Sign-On 管理员组的其他成员指定用户名和密码。
    如果在安装时指定了不同的域,请以 administrator@ mydomain 身份登录。
  3. 导航到证书管理 UI。
    1. 主页菜单中,选择系统管理
    2. 证书下,单击证书管理
  4. 如果系统出现提示,请输入 vCenter Server 的凭据。
  5. STS 签名证书下,单击操作 > 使用 vCenter 证书刷新
    如果使用自定义生成的 STS 签名证书或第三方 STS 签名证书,则刷新操作会使用 VMCA 生成的证书覆盖该证书。
    注: 如果出于合规性原因而使用第三方证书,刷新可能会导致您的 vCenter Server 系统不合规。此外,如果使用自定义生成的 STS 签名证书或第三方 STS 签名证书,则 Security Token Service 不再将该自定义证书或第三方证书用于令牌签名。
  6. 单击刷新
    此时 VMCA 会刷新此 vCenter Server 系统以及链接的任何 vCenter Server 系统上的 STS 签名证书。
  7. (可选) 如果显示强制刷新按钮,表明 vCenter Single Sign-On 检测到问题。单击强制刷新之前,请考虑以下潜在结果。
    • 如果所有受影响的 vCenter Server 系统均未至少运行 vSphere 7.0 Update 3,则不支持证书刷新。
    • 选择强制刷新要求重新启动所有 vCenter Server 系统,并且可能会致使这些系统在重新启动之前无法正常运行。
    1. 如果不确定影响,请单击取消并研究您的环境。
    2. 如果确定影响,请单击强制刷新继续刷新,然后手动重新启动 vCenter Server 系统。

下一步做什么

要确保增强型链接模式配置中的所有 STS 服务均验证新令牌,必须重新启动链接的 vCenter Server 系统。请参见 《vCenter Server 配置》文档中有关如何重新引导 vCenter Server 的主题。