Der vCenter Single Sign On-Server enthält einen Security Token Service (STS). Der Security Token Service ist ein Webservice, der Sicherheitstoken ausstellt, validiert und erneuert. Sie können das vorhandene Zertifikat für den Security Token Service manuell im vSphere Web Client aktualisieren, wenn es abläuft oder geändert wird.

Warum und wann dieser Vorgang ausgeführt wird

Um einen SAML-Token abzurufen, gibt der Benutzer die primären Anmeldedaten im Secure Token Server (STS) ein. Diese hängen vom Objekttyp ab.

Lösungsbenutzer

Gültiges Zertifikat

Andere Benutzer

In einer vCenter Single Sign On-Identitätsquelle verfügbarer Benutzername und verfügbares Kennwort.

Der STS authentifiziert den Benutzer anhand der primären Anmeldedaten und erstellt einen SAML-Token mit Benutzerattributen. Der STS-Dienst signiert den SAML-Token mit dem STS-Signaturzertifikat und weist den Token einem Benutzer zu. Standardmäßig wird das STS-Signaturzertifikat von VMCA generiert.

Nachdem ein Benutzer einen SAML-Token erhalten hat, wird er als HTTP-Anforderung des Benutzers versendet, möglicherweise über verschiedene Proxys. Nur der beabsichtigte Empfänger (Dienstanbieter) kann die Informationen im SAML-Token nutzen.

Sie können das bestehende STS-Signaturzertifikat im vSphere Web Client ersetzen, wenn Ihre Unternehmensrichtlinien dies erfordern oder ein abgelaufenes Zertifikat aktualisiert werden soll.

ACHTUNG:

Ersetzen Sie die Datei nicht im Dateisystem. Andernfalls treten unerwartete Fehler auf, die schwer zu debuggen sind.

Anmerkung:

Nachdem Sie das Zertifikat ersetzt haben, müssen Sie den Knoten neu starten, damit der vSphere Web Client-Dienst und der STS-Dienst neu gestartet werden.

Voraussetzungen

Kopieren Sie das Zertifikat, das Sie gerade zum Java Keystore hinzugefügt haben, von Platform Services Controller auf Ihre lokale Arbeitsstation.

Platform Services Controller-Appliance

Zertifikatspeicherort/keys/root-trust.jks z. B.: /keys/root-trust.jks

Beispiel:

/root/newsts/keys/root-trust.jks

Windows-Installation

Zertifikatspeicherort\root-trust.jks

Beispiel:

C:\Programme\VMware\vCenter Server\jre\bin\root-trust.jks

Prozedur

  1. Melden Sie sich beim vSphere Web Client als „administrator@vsphere.local“ oder als anderer Benutzer mit vCenter Single Sign On-Administratorrechten an.

    Benutzer mit Administratorrechten für vCenter Single Sign On sind in der Administratorgruppe in der lokalen vCenter Single Sign On-Domäne enthalten (standardmäßig „vsphere.local“).

  2. Wählen Sie die Registerkarte Zertifikate und die Unterregisterkarte STS-Signierung und klicken Sie auf das Symbol STS-Signaturzertifikat hinzufügen.
  3. Fügen Sie das Zertifikat hinzu.
    1. Klicken Sie auf Durchsuchen, um zur Keystore-Datei (JKS) zu navigieren, die das neue Zertifikat enthält, und klicken Sie auf Öffnen.
    2. Geben Sie das Kennwort ein, wenn Sie dazu aufgefordert werden.
    3. Klicken Sie ganz oben in die STS-Alias-Kette und dann auf OK.
    4. Geben Sie das Kennwort erneut ein, wenn Sie dazu aufgefordert werden.
  4. Klicken Sie auf OK.
  5. Starten Sie den Platform Services Controller-Knoten neu, damit der STS-Dienst und vSphere Web Client neu gestartet werden.

    Ohne einen Neustart funktioniert die Authentifizierung nicht ordnungsgemäß, daher ist der Neustart unerlässlich.