Wenn Sie das Standard-Security Token Service (STS)-Serverzertifikat von vCenter Single Sign-On ersetzen möchten, müssen Sie ein neues Zertifikat generieren und dem Java Keystore hinzufügen. In diesem Thema werden die Schritte auf einer eingebetteten Bereitstellungs-Appliance oder einer externen Platform Services Controller-Appliance erläutert.

Warum und wann dieser Vorgang ausgeführt wird

Anmerkung:

Dieses Zertifikat ist zehn Jahre lang gültig und kein externes Zertifikat. Ersetzen Sie dieses Zertifikat nur, wenn die Sicherheitsrichtlinie des Unternehmens dies erfordert.

Weitere Informationen finden Sie unter Generieren eines neuen STS-Signaturzertifikats in einer Windows-Installation von vCenter, wenn eine Windows-Installation des Platform Services Controller ausgeführt wird.

Prozedur

  1. Erstellen Sie ein Verzeichnis auf oberster Ebene, in dem das neue Zertifikat gespeichert wird, und überprüfen Sie den Verzeichnispfad.
    mkdir newsts
    cd newsts
    pwd 
    #resulting output: /root/newst
  2. Kopieren Sie die Datei certool.cfg in das neue Verzeichnis.
    cp /usr/lib/vmware-vmca/share/config/certool.cfg /root/newsts
    
  3. Öffnen Sie die Kopie der Datei certool.cfg und bearbeiten Sie sie so, dass die IP-Adresse und der Hostname der lokalen Platform Services Controller-Instanz verwendet werden.

    Es muss ein durch zwei Buchstaben bezeichnetes Land angegeben werden, wie im folgenden Beispiel dargestellt.

    #
    # Template file for a CSR request
    #
    
    # Country is needed and has to be 2 characters
    Country = US
    Name = STS
    Organization = ExampleInc
    OrgUnit = ExampleInc Dev
    State = Indiana
    Locality = Indianapolis
    IPAddress = 10.0.1.32
    Email = chen@exampleinc.com
    Hostname = homecenter.exampleinc.local
  4. Generieren Sie den Schlüssel.
    /usr/lib/vmware-vmca/bin/certool --server localhost --genkey --privkey=/root/newsts/sts.key --pubkey=/root/newsts/sts.pub
  5. Generieren Sie das Zertifikat.
    /usr/lib/vmware-vmca/bin/certool --gencert --cert=/root/newsts/newsts.cer --privkey=/root/newsts/sts.key --config=/root/newsts/certool.cfg
    
  6. Konvertieren Sie das Zertifikat in das PK12-Format.
    openssl pkcs12 -export -in /root/newsts/newsts.cer -inkey /root/newsts/sts.key -certfile /etc/vmware-sso/keys/ssoserverRoot.crt -name "newstssigning" -passout pass:changeme -out newsts.p12
  7. Fügen Sie das Zertifikat zum Java Keystore (JKS) hinzu.
    /usr/java/jre-vmware/bin/keytool -v -importkeystore -srckeystore newsts.p12 -srcstoretype pkcs12 -srcstorepass changeme -srcalias newstssigning -destkeystore root-trust.jks -deststoretype JKS -deststorepass testpassword -destkeypass testpassword
    
    /usr/java/jre-vmware/bin/keytool -v -importcert -keystore root-trust.jks -deststoretype JKS -storepass testpassword -keypass testpassword -file /etc/vmware-sso/keys/ssoserverRoot.crt -alias root-ca
    
  8. Geben Sie bei der Aufforderung Ja ein, um das Zertifikat im Keystore zu akzeptieren.

Nächste Maßnahme

Sie können das neue Zertifikat jetzt importieren. Weitere Informationen hierzu finden Sie unter Aktualisieren des Zertifikats für den Security Token Service.