Der Security Token Service (STS) von vCenter Server ist ein Webservice, der Sicherheitstoken ausstellt, validiert und erneuert.
Als Token-Aussteller verwendet der Security Token Service einen privaten Schlüssel zum Signieren von Token und veröffentlicht die öffentlichen Zertifikate für Dienste, um die Token-Signatur zu überprüfen. Der vCenter Server verwaltet die STS-Signaturzertifikate und speichert sie im VMware Directory Service (vmdir). Token können eine beträchtliche Lebensdauer haben und historisch gesehen mit einem beliebigen von mehreren Schlüsseln signiert worden sein.
STS authentifiziert den Benutzer anhand der primären Anmeldedaten und erstellt ein SAML-Token mit Benutzerattributen.
Standardmäßig generiert VMware Certificate Authority (VMCA) das STS-Signaturzertifikat. Sie können das STS-Signaturzertifikat mit einem neuen VMCA-Zertifikat aktualisieren. Sie können das standardmäßige STS-Signaturzertifikat auch durch ein benutzerdefiniertes oder von Einem Drittanbieter generiertes STS-Signaturzertifikat importieren und ersetzen. Ersetzen Sie das STS-Signaturzertifikat nur dann, wenn die Sicherheitsrichtlinien Ihres Unternehmens das Ersetzen aller Zertifikate erfordern.
Mithilfe des vSphere Client können Sie folgende Aktionen ausführen:
- STS-Zertifikate aktualisieren
- Benutzerdefinierte STS-Zertifikate und von Drittanbietern generierte STS-Zertifikate importieren und ersetzen
- Details zu STS-Zertifikaten anzeigen, z. B. das Ablaufdatum
Sie können auch die Befehlszeile verwenden, um benutzerdefinierte und von Drittanbietern generierte STS-Zertifikate zu ersetzen.
STS-Zertifikatslaufzeit und -ablauf
Bei einer Neuinstallation von vSphere 7.0 Update 1 und höher wird ein STS-Signaturzertifikat mit einer Laufzeit von 10 Jahren erstellt. Wenn ein STS-Signaturzertifikat kurz vor dem Ablauf steht, werden Sie durch einen Alarm ab 90 Tagen vor Ablauf einmal pro Woche und ab 7 Tagen vor Ablauf täglich gewarnt.
