Wenn Sie das standardmäßige STS-Signaturzertifikat ersetzen möchten, müssen Sie zuerst ein neues Zertifikat generieren und zum Java Keystore hinzufügen. In diesem Verfahren werden die Schritte in einer Windows-Installation beschrieben.

Warum und wann dieser Vorgang ausgeführt wird

Anmerkung:

Dieses Zertifikat ist zehn Jahre lang gültig und kein externes Zertifikat. Ersetzen Sie dieses Zertifikat nur, wenn die Sicherheitsrichtlinie des Unternehmens dies erfordert.

Wenn Sie eine virtuelle Appliance verwenden, ziehen Sie Generieren eines neuen STS-Signaturzertifikats auf der Appliance zurate.

Prozedur

  1. Erstellen Sie ein neues Verzeichnis zum Speichern des neuen Zertifikats.
    cd C:\ProgramData\VMware\vCenterServer\cfg\sso\keys\
    mkdir newsts
    cd newsts
  2. Erstellen Sie eine Kopie der Datei certool.cfg und speichern Sie sie im neuen Verzeichnis.
    copy "C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg" .
  3. Öffnen Sie die Kopie der Datei certool.cfg und bearbeiten Sie sie so, dass die IP-Adresse und der Hostname der lokalen Platform Services Controller-Instanz verwendet werden.

    Das Land muss angegeben werden und aus zwei Buchstaben bestehen. Dies wird im folgenden Beispiel verdeutlicht.

    #
    # Template file for a CSR request
    #
    
    # Country is needed and has to be 2 characters
    Country = US
    Name = STS
    Organization = ExampleInc
    OrgUnit = ExampleInc Dev
    State = Indiana
    Locality = Indianapolis
    IPAddress = 10.0.1.32
    Email = chen@exampleinc.com
    Hostname = homecenter.exampleinc.local
  4. Generieren Sie den Schlüssel.
    "C:\Program Files\VMware\vCenter Server\vmcad\certool.exe" --server localhost --genkey --privkey=sts.key --pubkey=sts.pub
  5. Generieren Sie das Zertifikat.
    "C:\Program Files\VMware\vCenter Server\vmcad\certool.exe" --gencert --cert=newsts.cer --privkey=sts.key --config=certool.cfg
  6. Konvertieren Sie das Zertifikat in das PK12-Format.
    "C:\Program Files\VMware\vCenter Server\openSSL\openssl.exe" pkcs12 -export -in newsts.cer -inkey sts.key -certfile ..\ssoserverRoot.crt -name "newstssigning" -passout pass:changeme -out newsts.p12
    
  7. Fügen Sie das Zertifikat zum Java Keystore (JKS) hinzu.
    "C:\Program Files\VMware\vCenter Server\jre\bin\keytool.exe" -v -importkeystore -srckeystore newsts.p12 -srcstoretype pkcs12 -srcstorepass changeme -srcalias newstssigning -destkeystore root-trust.jks -deststoretype JKS -deststorepass testpassword -destkeypass testpassword
    "C:\Program Files\VMware\vCenter Server\jre\bin\keytool.exe" -v -importcert -keystore root-trust.jks -deststoretype JKS -storepass testpassword -keypass testpassword -file ..\ssoserverRoot.crt -alias root-ca

Nächste Maßnahme

Sie können das neue Zertifikat jetzt importieren. Weitere Informationen hierzu finden Sie unter Aktualisieren des Zertifikats für den Security Token Service.