Generieren eines neuen STS-Signaturzertifikats auf der Appliance

Bei dem signierenden Zertifikat des vCenter Single Sign-On Security Token Service (STS) handelt es sich um ein internes VMware-Zertifikat. Ersetzen Sie es daher nicht, außer wenn Ihr Unternehmen Sie zum Ersatz interner Zertifikate anweist. Wenn Sie das standardmäßige STS-Signaturzertifikat ersetzen möchten, müssen Sie ein neues Zertifikat generieren und zum Java Keystore hinzufügen. In diesem Thema werden die Schritte auf einer eingebetteten Bereitstellungs-Appliance oder einer externen Platform Services Controller-Appliance erläutert.

Hinweis: Dieses Zertifikat ist zehn Jahre lang gültig und kein externes Zertifikat. Ersetzen Sie dieses Zertifikat nur, wenn die Sicherheitsrichtlinie des Unternehmens dies erfordert.

Weitere Informationen finden Sie unter Generieren eines neuen STS-Signaturzertifikats in einer Windows-Installation von vCenter, wenn eine Windows-Installation des Platform Services Controller ausgeführt wird.

Prozedur

Erstellen Sie ein Verzeichnis auf oberster Ebene, in dem das neue Zertifikat gespeichert wird, und überprüfen Sie den Verzeichnispfad.
```
mkdir newsts
cd newsts
pwd 
#resulting output: /root/newst
```

Kopieren Sie die Datei certool.cfg in das neue Verzeichnis.

cp /usr/lib/vmware-vmca/share/config/certool.cfg /root/newsts

Öffnen Sie die Kopie der Datei certool.cfg und bearbeiten Sie sie so, dass die IP-Adresse und der Hostname der lokalen Platform Services Controller-Instanz verwendet werden.

Es muss ein durch zwei Buchstaben bezeichnetes Land angegeben werden, wie im folgenden Beispiel dargestellt.

#
# Template file for a CSR request
#

# Country is needed and has to be 2 characters
Country = US
Name = STS
Organization = ExampleInc
OrgUnit = ExampleInc Dev
State = Indiana
Locality = Indianapolis
IPAddress = 10.0.1.32
Email = [email protected]
Hostname = homecenter.exampleinc.local

Generieren Sie den Schlüssel.

/usr/lib/vmware-vmca/bin/certool --server localhost --genkey --privkey=/root/newsts/sts.key --pubkey=/root/newsts/sts.pub

Generieren Sie das Zertifikat.

/usr/lib/vmware-vmca/bin/certool --gencert --cert=/root/newsts/newsts.cer --privkey=/root/newsts/sts.key --config=/root/newsts/certool.cfg

Konvertieren Sie das Zertifikat in das PK12-Format.

openssl pkcs12 -export -in /root/newsts/newsts.cer -inkey /root/newsts/sts.key -certfile /var/lib/vmware/vmca/root.cer -name "newstssigning" -passout pass:testpassword -out newsts.p12

Fügen Sie das Zertifikat zum Java Keystore (JKS) hinzu.

/usr/java/jre-vmware/bin/keytool -v -importkeystore -srckeystore newsts.p12 -srcstoretype pkcs12 -srcstorepass testpassword -srcalias newstssigning -destkeystore root-trust.jks -deststoretype JKS -deststorepass testpassword -destkeypass testpassword

/usr/java/jre-vmware/bin/keytool -v -importcert -keystore root-trust.jks -deststoretype JKS -storepass testpassword -keypass testpassword -file /var/lib/vmware/vmca/root.cer -alias root-ca

Verwenden Sie keytool -help, um eine Liste aller verfügbaren Befehle zu erhalten.

Geben Sie bei der Aufforderung Ja ein, um das Zertifikat im Keystore zu akzeptieren.

Nächste Maßnahme

Sie können das neue Zertifikat jetzt importieren. Weitere Informationen hierzu finden Sie unter Aktualisieren des Zertifikats für den Security Token Service.