Sie können Ihre vCenter Server-STS-Signaturzertifikate mithilfe des vSphere Client aktualisieren. Der VMware Certificate Authority (VMCA) stellt ein neues Zertifikat aus und ersetzt das aktuelle Zertifikat.

Wenn Sie STS-Signaturzertifikate aktualisieren, stellt VMware Certificate Authority (VMCA) ein neues Zertifikat aus und ersetzt das aktuelle Zertifikat im VMware Directory Service (vmdir). STS beginnt, das neue Zertifikat zu verwenden, damit neue Token ausgegeben werden. Bei einer Konfiguration mit dem erweiterten verknüpften Modus lädt vmdir das neue Zertifikat vom ausstellenden vCenter Server-System auf alle verknüpften vCenter Server-Systeme hoch. Wenn Sie STS-Signaturzertifikate aktualisieren, müssen Sie das vCenter Server-System und alle anderen vCenter Server-Systeme neu starten, die Teil einer Konfiguration mit dem erweiterten verknüpften Modus sind.

Falls Sie ein benutzerdefiniertes generiertes STS-Signaturzertifikat oder ein STS-Signaturzertifikat eines Drittanbieters verwenden, wird dieses Zertifikat bei der Aktualisierung mit einem von VMCA ausgestellten Zertifikat überschrieben. Um benutzerdefinierte generierte STS-Signaturzertifikate oder STS-Signaturzertifikate von Drittanbietern zu aktualisieren, verwenden Sie die Option zum Importieren und Ersetzen. Weitere Informationen finden Sie unter Importieren und Ersetzen eines vCenter Server-STS-Zertifikats mithilfe des vSphere Client.

Das von VMCA ausgestellte STS-Signaturzertifikat ist 10 Jahre lang gültig und ist kein externes Zertifikat. Ersetzen Sie dieses Zertifikat nur dann, wenn die Sicherheitsrichtlinien Ihres Unternehmens dies erfordern.

Voraussetzungen

Für die Zertifikatsverwaltung müssen Sie das Kennwort des Administrators für die lokale Domäne angeben (standardmäßig [email protected]). Beim Verlängern von Zertifikaten müssen Sie auch die vCenter Single Sign On-Anmeldedaten eines Benutzers mit Administratorrechten für das vCenter Server-System eingeben.

Prozedur

  1. Melden Sie sich mit vSphere Client bei vCenter Server an.
  2. Geben Sie den Benutzernamen und das Kennwort für „[email protected]“ oder für ein anderes Mitglied der Administratorengruppe von vCenter Single Sign-On an.
    Falls Sie eine andere Domäne während der Installation angegeben haben, melden Sie sich als administrator@ meinedomäne an.
  3. Navigieren Sie zur Benutzeroberfläche für die Zertifikatsverwaltung.
    1. Wählen Sie im Menü Home die Option Verwaltung aus.
    2. Klicken Sie unter Zertifikate auf Zertifikatsverwaltung.
  4. Wenn Sie vom System aufgefordert werden, geben Sie die Anmeldedaten Ihres vCenter Server ein.
  5. Klicken Sie unter STS-Signaturzertifikat auf Aktionen > Mit vCenter-Zertifikat aktualisieren.
    Falls Sie ein benutzerdefiniertes generiertes STS-Signaturzertifikat oder ein STS-Signaturzertifikat eines Drittanbieters verwenden, wird dieses Zertifikat bei der Aktualisierung mit einem von VMCA generierten Zertifikat überschrieben.
    Hinweis: Wenn Sie aus Konformitätsgründen Zertifikate von Drittanbietern verwendet haben, kann die Aktualisierung dazu führen, dass Ihre vCenter Server-Systeme anschließend nicht mehr konform sind. Darüber hinaus nutzt der Security Token Service, wenn Sie ein benutzerdefiniertes generiertes STS-Signaturzertifikat oder ein STS-Signaturzertifikat eines Drittanbieters verwenden, dieses benutzerdefinierte oder Drittanbieterzertifikat nicht mehr für die Tokensignierung.
  6. Klicken Sie auf Aktualisieren.
    VMCA aktualisiert das STS-Signaturzertifikat auf diesem vCenter Server-System und auf allen verknüpften vCenter Server-Systemen.
  7. (Optional) Wenn die Schaltfläche Aktualisierung erzwingen angezeigt wird, hat vCenter Single Sign On ein Problem erkannt. Bevor Sie auf Aktualisierung erzwingen klicken, sollten Sie die folgenden potenziellen Ergebnisse berücksichtigen, die dies nach sich ziehen kann.
    • Die Zertifikataktualisierung wird nur unterstützt, wenn alle betroffenen vCenter Server-Systeme mindestens über vSphere 7.0 Update 3 verfügen.
    • Wenn Sie Aktualisierung erzwingen auswählen, müssen Sie alle vCenter Server-Systeme neu starten. Andernfalls kann die Auswahl dieser Option dazu führen, dass diese Systeme nicht mehr funktionsfähig sind.
    1. Falls Sie sich im Hinblick auf die Auswirkungen nicht sicher sind, klicken Sie auf Abbrechen und untersuchen Sie Ihre Umgebung.
    2. Wenn Sie wissen, mit welchen Auswirkungen zu rechnen ist, klicken Sie auf Aktualisierung erzwingen, um mit der Aktualisierung fortzufahren. Starten Sie dann Ihre vCenter Server-Systeme manuell neu.

Nächste Maßnahme

Um sicherzustellen, dass alle STS-Dienste in einer Konfiguration mit dem erweiterten verknüpften Modus die neuen Token validieren, müssen Sie die verknüpften vCenter Server-Systeme neu starten. Weitere Informationen zum Neustart des vCenter Server finden Sie in der Dokumentation vCenter Server-Konfiguration.