Sie können das vCenter Server-STS-Zertifikat über die CLI durch ein benutzerdefiniertes generiertes Zertifikat oder ein Drittanbieterzertifikat ersetzen.

Um ein im Unternehmen erforderliches Zertifikat zu verwenden oder ein Zertifikat zu aktualisieren, das fast abgelaufen ist, können Sie das vorhandene STS-Signaturzertifikat ersetzen. Um das standardmäßige STS-Signaturzertifikat zu ersetzen, müssen Sie zuerst ein neues Zertifikat generieren.

Das STS-Zertifikat ist kein externes Zertifikat. Ersetzen Sie dieses Zertifikat nur dann, wenn die Sicherheitsrichtlinien Ihres Unternehmens dies erfordern.

Vorsicht: Sie müssen die hier beschriebenen Verfahren verwenden. Ersetzen Sie das Zertifikat nicht direkt im Dateisystem.

Voraussetzungen

Aktivieren Sie die SSH-Anmeldung bei vCenter Server. Weitere Informationen hierzu finden Sie unter Verwalten von vCenter Server über die vCenter Server-Shell.

Prozedur

  1. Melden Sie sich bei der vCenter Server-Shell als Root-Benutzer an.
  2. Erstellen Sie ein Zertifikat.
    1. Erstellen Sie ein Verzeichnis auf oberster Ebene, in dem das neue Zertifikat gespeichert wird, und überprüfen Sie den Verzeichnispfad. 
      mkdir newsts
cd newsts
pwd 
#resulting output: /root/newsts
    2. Kopieren Sie die Datei certool.cfg in das neue Verzeichnis. 
      cp /usr/lib/vmware-vmca/share/config/certool.cfg /root/newsts
    3. Öffnen Sie die Kopie der Datei certool.cfg mit einem Befehlszeileneditor wie Vim und bearbeiten Sie sie so, dass die IP-Adresse und der Hostname des lokalen vCenter Server verwendet werden. Es muss ein durch zwei Buchstaben bezeichnetes Land angegeben werden, wie im folgenden Beispiel dargestellt. 
      #
# Template file for a CSR request
#

# Country is needed and has to be 2 characters
Country = US
Name = STS
Organization = ExampleInc
OrgUnit = ExampleInc Dev
State = Indiana
Locality = Indianapolis
IPAddress = 10.0.1.32
Email = [email protected]
Hostname = homecenter.exampleinc.local
    4. Generieren Sie den Schlüssel. 
      /usr/lib/vmware-vmca/bin/certool --server localhost --genkey --privkey=/root/newsts/sts.key --pubkey=/root/newsts/sts.pub
    5. Generieren Sie das Zertifikat. 
      /usr/lib/vmware-vmca/bin/certool --gencert --cert=/root/newsts/newsts.cer --privkey=/root/newsts/sts.key --config=/root/newsts/certool.cfg
    6. Erstellen Sie eine PEM-Datei mit der Zertifikatskette und dem privaten Schlüssel. 
      cat newsts.cer /var/lib/vmware/vmca/root.cer sts.key > newsts.pem
  3. Aktualisieren Sie das STS-Signaturzertifikat, z. B.: 
    /opt/vmware/bin/sso-config.sh -set_signing_cert -t vsphere.local /root/newsts/newsts.pem
  4. Starten Sie das vCenter Server-System und alle anderen vCenter Server-Systeme neu, die Teil einer Konfiguration mit dem erweiterten verknüpften Modus sind. Weitere Informationen zum Neustart des vCenter Server finden Sie in der Dokumentation vCenter Server-Konfiguration.
    Damit die Authentifizierung ordnungsgemäß funktioniert, müssen Sie den vCenter Server neu starten. Sowohl der STS-Dienst als auch der vSphere Client werden neu gestartet.