Bei dem signierenden Zertifikat des vCenter Single Sign-On Security Token Service (STS) handelt es sich um ein internes VMware-Zertifikat. Ersetzen Sie es daher nicht, außer wenn Ihr Unternehmen Sie zum Ersatz interner Zertifikate anweist. Wenn Sie das standardmäßige STS-Signaturzertifikat ersetzen möchten, müssen Sie zuerst ein neues Zertifikat generieren und zum Java Keystore hinzufügen. In diesem Verfahren werden die Schritte in einer Windows-Installation beschrieben.

Hinweis: Dieses Zertifikat ist zehn Jahre lang gültig und kein externes Zertifikat. Ersetzen Sie dieses Zertifikat nur, wenn die Sicherheitsrichtlinie des Unternehmens dies erfordert.

Wenn Sie eine virtuelle Appliance verwenden, ziehen Sie Generieren eines neuen STS-Signaturzertifikats auf der Appliance zurate.

Prozedur

  1. Erstellen Sie ein Verzeichnis zum Speichern des neuen Zertifikats. 
    cd C:\ProgramData\VMware\vCenterServer\cfg\sso\keys\
mkdir newsts
cd newsts
  2. Erstellen Sie eine Kopie der Datei certool.cfg und speichern Sie sie im neuen Verzeichnis. 
    copy "C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg" .
  3. Öffnen Sie die Kopie der Datei certool.cfg und bearbeiten Sie sie so, dass die IP-Adresse und der Hostname der lokalen Platform Services Controller-Instanz verwendet werden.
    Das Land muss angegeben werden und aus zwei Buchstaben bestehen. Dies wird im folgenden Beispiel verdeutlicht. 
    #
# Template file for a CSR request
#

# Country is needed and has to be 2 characters
Country = US
Name = STS
Organization = ExampleInc
OrgUnit = ExampleInc Dev
State = Indiana
Locality = Indianapolis
IPAddress = 10.0.1.32
Email = [email protected]
Hostname = homecenter.exampleinc.local
  4. Generieren Sie den Schlüssel. 
    "C:\Program Files\VMware\vCenter Server\vmcad\certool.exe" --server localhost --genkey --privkey=sts.key --pubkey=sts.pub
  5. Generieren Sie das Zertifikat. 
    "C:\Program Files\VMware\vCenter Server\vmcad\certool.exe" --gencert --cert=newsts.cer --privkey=sts.key --config=certool.cfg
  6. Konvertieren Sie das Zertifikat in das PK12-Format. 
    "C:\Program Files\VMware\vCenter Server\openSSL\openssl.exe" pkcs12 -export -in newsts.cer -inkey sts.key -certfile C:\ProgramData\VMware\vCenterServer\data\vmca\root.cer -name "newstssigning" -passout pass:changeme -out newsts.p12
  7. Fügen Sie das Zertifikat zum Java Keystore (JKS) hinzu. 
    "C:\Program Files\VMware\vCenter Server\jre\bin\keytool.exe" -v -importkeystore -srckeystore newsts.p12 -srcstoretype pkcs12 -srcstorepass changeme -srcalias newstssigning -destkeystore root-trust.jks -deststoretype JKS -deststorepass testpassword -destkeypass testpassword
"C:\Program Files\VMware\vCenter Server\jre\bin\keytool.exe" -v -importcert -keystore root-trust.jks -deststoretype JKS -storepass testpassword -keypass testpassword -file C:\ProgramData\VMware\vCenterServer\data\vmca\root.cer -alias root-ca

Nächste Maßnahme

Sie können das neue Zertifikat jetzt importieren. Weitere Informationen hierzu finden Sie unter Aktualisieren des Zertifikats für den Security Token Service.