Der Security Token Service (STS) von vCenter Server ist ein Webservice, der Sicherheitstoken ausstellt, validiert und erneuert.

Als Token-Aussteller verwendet der Security Token Service einen privaten Schlüssel zum Signieren von Token und veröffentlicht die öffentlichen Zertifikate für Dienste, um die Token-Signatur zu überprüfen. Der vCenter Server verwaltet die STS-Signaturzertifikate und speichert sie im VMware Directory Service (vmdir). Token können eine beträchtliche Lebensdauer haben und historisch gesehen mit einem beliebigen von mehreren Schlüsseln signiert worden sein.

Die Benutzer geben ihre primären Anmeldedaten bei der STS-Schnittstelle ein, um Token zu erhalten. Die primären Anmeldedaten hängen vom Benutzertyp ab.

Tabelle 1. STS-Benutzer und -Anmeldedaten
Benutzertyp Primäre Anmeldedaten
Lösungsbenutzer Gültiges Zertifikat.
Andere Benutzer In einer vCenter Single Sign On-Identitätsquelle verfügbarer Benutzername und verfügbares Kennwort.

STS authentifiziert den Benutzer anhand der primären Anmeldedaten und erstellt ein SAML-Token mit Benutzerattributen.

Standardmäßig generiert VMware Certificate Authority (VMCA) das STS-Signaturzertifikat. Sie können das STS-Signaturzertifikat mit einem neuen VMCA-Zertifikat aktualisieren. Sie können das standardmäßige STS-Signaturzertifikat auch durch ein benutzerdefiniertes oder von Einem Drittanbieter generiertes STS-Signaturzertifikat importieren und ersetzen. Ersetzen Sie das STS-Signaturzertifikat nur dann, wenn die Sicherheitsrichtlinien Ihres Unternehmens das Ersetzen aller Zertifikate erfordern.

Mithilfe des vSphere Client können Sie folgende Aktionen ausführen:

  • STS-Zertifikate aktualisieren
  • Benutzerdefinierte STS-Zertifikate und von Drittanbietern generierte STS-Zertifikate importieren und ersetzen
  • Details zu STS-Zertifikaten anzeigen, z. B. das Ablaufdatum

Sie können auch die Befehlszeile verwenden, um benutzerdefinierte und von Drittanbietern generierte STS-Zertifikate zu ersetzen.

STS-Zertifikatslaufzeit und -ablauf

Bei einer Neuinstallation von vSphere 7.0 Update 1 und höher wird ein STS-Signaturzertifikat mit einer Laufzeit von 10 Jahren erstellt. Wenn ein STS-Signaturzertifikat kurz vor dem Ablauf steht, werden Sie durch einen Alarm ab 90 Tagen vor Ablauf einmal pro Woche und ab 7 Tagen vor Ablauf täglich gewarnt.

Hinweis: Unter bestimmten Umständen kann das Ersetzen Ihrer STS-Signaturzertifikate die Dauer der Zertifikate ändern. Achten Sie bei der Zertifikatsersetzung auf die Ausstellungs- und Ablaufdaten.

Automatische Verlängerung des STS-Zertifikats

Ab vSphere 8.0 verlängert vCenter Single Sign On ein VMCA-generiertes STS-Signaturzertifikat automatisch. Die automatische Verlängerung erfolgt, bevor das STS-Signaturzertifikat abläuft und bevor der 90-Tage-Ablaufalarm ausgelöst wird. Wenn die automatische Verlängerung fehlschlägt, erstellt vCenter Single Sign On eine Fehlermeldung in der Protokolldatei. Bei Bedarf können Sie das STS-Signaturzertifikat manuell aktualisieren.

Hinweis: vCenter Single Sign On führt keine automatische Verlängerung von benutzerdefiniert generierten oder Drittanbieter-STS-Signaturzertifikaten durch.

Aktualisieren und Importieren und Ersetzen von STS-Zertifikaten

Ab 8.0 ist für das Aktualisieren oder Importieren und Ersetzen der STS-Signaturzertifikate kein vCenter Server-Neustart erforderlich. Dadurch werden Ausfallzeiten vermieden. Darüber hinaus werden in einer verknüpften Konfiguration beim Aktualisieren oder Importieren und Ersetzen der STS-Signaturzertifikate auf einem einzelnen vCenter Server die STS-Zertifikate auf allen verknüpften vCenter Server-Systemen aktualisiert.

Hinweis: Unter bestimmten Umständen kann es bei der Aktualisierung oder dem Importieren und Ersetzen von STS-Signaturzertifikaten erforderlich sein, die vCenter Server-Systeme manuell neu zu starten.

Aktualisieren eines vCenter Server-STS-Zertifikats mithilfe des vSphere Client

Sie können Ihre vCenter Server-STS-Signaturzertifikate mithilfe des vSphere Client aktualisieren. Der VMware Certificate Authority (VMCA) stellt ein neues Zertifikat aus und ersetzt das aktuelle Zertifikat.

Wenn Sie STS-Signaturzertifikate aktualisieren, stellt VMware Certificate Authority (VMCA) ein neues Zertifikat aus und ersetzt das aktuelle Zertifikat im VMware Directory Service (vmdir). STS beginnt, das neue Zertifikat zu verwenden, damit neue Token ausgegeben werden. Bei einer Konfiguration mit dem erweiterten verknüpften Modus lädt vmdir das neue Zertifikat vom ausstellenden vCenter Server-System auf alle verknüpften vCenter Server-Systeme hoch. Wenn Sie STS-Signaturzertifikate aktualisieren, müssen Sie das vCenter Server-System und alle anderen vCenter Server-Systeme nicht neu starten, die Teil einer Konfiguration mit dem erweiterten verknüpften Modus sind.

Falls Sie ein benutzerdefiniertes generiertes STS-Signaturzertifikat oder ein STS-Signaturzertifikat eines Drittanbieters verwenden, wird dieses Zertifikat bei der Aktualisierung mit einem von VMCA ausgestellten Zertifikat überschrieben. Um benutzerdefinierte generierte STS-Signaturzertifikate oder STS-Signaturzertifikate von Drittanbietern zu aktualisieren, verwenden Sie die Option zum Importieren und Ersetzen. Weitere Informationen finden Sie unter Importieren und Ersetzen eines vCenter Server-STS-Zertifikats mithilfe des vSphere Client.

Das von VMCA ausgestellte STS-Signaturzertifikat ist 10 Jahre lang gültig und ist kein externes Zertifikat. Ersetzen Sie dieses Zertifikat nur dann, wenn die Sicherheitsrichtlinien Ihres Unternehmens dies erfordern.

Voraussetzungen

Für die Zertifikatsverwaltung müssen Sie das Kennwort des Administrators für die lokale Domäne angeben (standardmäßig administrator@vsphere.local). Beim Verlängern von Zertifikaten müssen Sie auch die vCenter Single Sign On-Anmeldedaten eines Benutzers mit Administratorrechten für das vCenter Server-System eingeben.

Prozedur

  1. Melden Sie sich mit vSphere Client bei vCenter Server an.
  2. Geben Sie den Benutzernamen und das Kennwort für „administrator@vsphere.local“ oder für ein anderes Mitglied der Administratorengruppe von vCenter Single Sign-On an.
    Falls Sie eine andere Domäne während der Installation angegeben haben, melden Sie sich als administrator@ meinedomäne an.
  3. Navigieren Sie zur Benutzeroberfläche für die Zertifikatsverwaltung.
    1. Wählen Sie im Menü Home die Option Verwaltung aus.
    2. Klicken Sie unter Zertifikate auf Zertifikatsverwaltung.
  4. Wenn Sie vom System aufgefordert werden, geben Sie die Anmeldedaten Ihres vCenter Server ein.
  5. Klicken Sie unter STS-Signaturzertifikat auf Aktionen > Mit vCenter-Zertifikat aktualisieren.
    Falls Sie ein benutzerdefiniertes generiertes STS-Signaturzertifikat oder ein STS-Signaturzertifikat eines Drittanbieters verwenden, wird dieses Zertifikat bei der Aktualisierung mit einem von VMCA generierten Zertifikat überschrieben.
    Hinweis: Wenn Sie aus Konformitätsgründen Zertifikate von Drittanbietern verwendet haben, kann die Aktualisierung dazu führen, dass Ihre vCenter Server-Systeme anschließend nicht mehr konform sind. Darüber hinaus nutzt der Security Token Service, wenn Sie ein benutzerdefiniertes generiertes STS-Signaturzertifikat oder ein STS-Signaturzertifikat eines Drittanbieters verwenden, dieses benutzerdefinierte oder Drittanbieterzertifikat nicht mehr für die Tokensignierung.
  6. Klicken Sie auf Aktualisieren.
    VMCA aktualisiert das STS-Signaturzertifikat auf diesem vCenter Server-System und auf allen verknüpften vCenter Server-Systemen.
  7. (Optional) Wenn die Schaltfläche Aktualisierung erzwingen angezeigt wird, hat vCenter Single Sign On ein Problem erkannt. Bevor Sie auf Aktualisierung erzwingen klicken, sollten Sie die folgenden potenziellen Ergebnisse berücksichtigen, die dies nach sich ziehen kann.
    • Die Zertifikataktualisierung wird nur unterstützt, wenn alle betroffenen vCenter Server-Systeme mindestens über vSphere 7.0 Update 3 verfügen.
    • Wenn Sie Aktualisierung erzwingen auswählen, müssen Sie alle vCenter Server-Systeme neu starten. Andernfalls kann die Auswahl dieser Option dazu führen, dass diese Systeme nicht mehr funktionsfähig sind.
    1. Falls Sie sich im Hinblick auf die Auswirkungen nicht sicher sind, klicken Sie auf Abbrechen und untersuchen Sie Ihre Umgebung.
    2. Wenn Sie wissen, mit welchen Auswirkungen zu rechnen ist, klicken Sie auf Aktualisierung erzwingen, um mit der Aktualisierung fortzufahren. Starten Sie dann Ihre vCenter Server-Systeme manuell neu.

Importieren und Ersetzen eines vCenter Server-STS-Zertifikats mithilfe des vSphere Client

Sie können das vCenter Server-STS-Zertifikat mithilfe des vSphere Client importieren und durch ein benutzerdefiniertes generiertes Zertifikat oder ein Drittanbieterzertifikat ersetzen.

Um das standardmäßige STS-Signaturzertifikat zu importieren und zu ersetzen, müssen Sie zuerst ein neues Zertifikat generieren. Wenn Sie STS-Signaturzertifikate importieren und ersetzen, lädt der VMware Directory Service (vmdir) das neue Zertifikat vom ausstellenden vCenter Server-System auf alle verknüpften vCenter Server-Systeme hoch.

Das STS-Zertifikat ist kein externes Zertifikat. Ersetzen Sie dieses Zertifikat nur dann, wenn die Sicherheitsrichtlinien Ihres Unternehmens dies erfordern.

Voraussetzungen

Für die Zertifikatsverwaltung müssen Sie das Kennwort des Administrators für die lokale Domäne angeben (standardmäßig administrator@vsphere.local). Darüber hinaus müssen Sie die vCenter Single Sign On-Anmeldedaten eines Benutzers mit Administratorrechten für das vCenter Server-System eingeben.

Prozedur

  1. Melden Sie sich mit vSphere Client bei vCenter Server an.
  2. Geben Sie den Benutzernamen und das Kennwort für „administrator@vsphere.local“ oder für ein anderes Mitglied der Administratorengruppe von vCenter Single Sign-On an.
    Falls Sie eine andere Domäne während der Installation angegeben haben, melden Sie sich als administrator@ meinedomäne an.
  3. Navigieren Sie zur Benutzeroberfläche für die Zertifikatsverwaltung.
    1. Wählen Sie im Menü Home die Option Verwaltung aus.
    2. Klicken Sie unter Zertifikate auf Zertifikatsverwaltung.
  4. Wenn Sie vom System aufgefordert werden, geben Sie die Anmeldedaten Ihres vCenter Server ein.
  5. Klicken Sie unter STS-Signaturzertifikat auf Aktionen > Importieren und ersetzen.
  6. Wählen Sie die PEM-Datei aus.
    Die PEM-Datei enthält die Signaturzertifikatskette und den privaten Schlüssel.
  7. Klicken Sie auf Ersetzen.
    Das STS-Signaturzertifikat wird auf diesem vCenter Server-System und auf allen verknüpften vCenter Server-Systemen ersetzt. Sofern nicht anders angegeben, müssen Sie die vCenter Server-Systeme nicht neu starten.

Ersetzen eines vCenter Server-STS-Zertifikats über die Befehlszeile

Sie können das vCenter Server-STS-Zertifikat über die CLI durch ein benutzerdefiniertes generiertes Zertifikat oder ein Drittanbieterzertifikat ersetzen.

Um ein im Unternehmen erforderliches Zertifikat zu verwenden oder ein Zertifikat zu aktualisieren, das fast abgelaufen ist, können Sie das vorhandene STS-Signaturzertifikat ersetzen. Um das standardmäßige STS-Signaturzertifikat zu ersetzen, müssen Sie zuerst ein neues Zertifikat generieren.

Das STS-Zertifikat ist kein externes Zertifikat. Ersetzen Sie dieses Zertifikat nur dann, wenn die Sicherheitsrichtlinien Ihres Unternehmens dies erfordern.

Vorsicht: Sie müssen die hier beschriebenen Verfahren verwenden. Ersetzen Sie das Zertifikat nicht direkt im Dateisystem.

Voraussetzungen

Aktivieren Sie die SSH-Anmeldung bei vCenter Server. Weitere Informationen hierzu finden Sie unter Verwalten von vCenter Server über die vCenter Server-Shell.

Prozedur

  1. Melden Sie sich bei der vCenter Server-Shell als Root-Benutzer an.
  2. Erstellen Sie ein Zertifikat.
    1. Erstellen Sie ein Verzeichnis auf oberster Ebene, in dem das neue Zertifikat gespeichert wird, und überprüfen Sie den Verzeichnispfad.
      mkdir newsts
      cd newsts
      pwd 
      #resulting output: /root/newsts
    2. Kopieren Sie die Datei certool.cfg in das neue Verzeichnis.
      cp /usr/lib/vmware-vmca/share/config/certool.cfg /root/newsts
      
    3. Öffnen Sie die Kopie der Datei certool.cfg mit einem Befehlszeileneditor wie Vim und bearbeiten Sie sie so, dass die IP-Adresse und der Hostname des lokalen vCenter Server verwendet werden. Es muss ein durch zwei Buchstaben bezeichnetes Land angegeben werden, wie im folgenden Beispiel dargestellt.
      #
      # Template file for a CSR request
      #
      
      # Country is needed and has to be 2 characters
      Country = US
      Name = STS
      Organization = ExampleInc
      OrgUnit = ExampleInc Dev
      State = Indiana
      Locality = Indianapolis
      IPAddress = 10.0.1.32
      Email = chen@exampleinc.com
      Hostname = homecenter.exampleinc.local
    4. Generieren Sie den Schlüssel.
      /usr/lib/vmware-vmca/bin/certool --server localhost --genkey --privkey=/root/newsts/sts.key --pubkey=/root/newsts/sts.pub
      
    5. Generieren Sie das Zertifikat.
      /usr/lib/vmware-vmca/bin/certool --gencert --cert=/root/newsts/newsts.cer --privkey=/root/newsts/sts.key --config=/root/newsts/certool.cfg
      
    6. Erstellen Sie eine PEM-Datei mit der Zertifikatskette und dem privaten Schlüssel.
      cat newsts.cer /var/lib/vmware/vmca/root.cer sts.key > newsts.pem
  3. Aktualisieren Sie das STS-Signaturzertifikat, z. B.:
    /opt/vmware/bin/sso-config.sh -set_signing_cert -t vsphere.local /root/newsts/newsts.pem
    VMCA aktualisiert das STS-Signaturzertifikat auf diesem vCenter Server-System und auf allen verknüpften vCenter Server-Systemen.

Anzeigen der aktiven vCenter Server-STS-Signaturzertifikatskette mit dem vSphere Client

Sie können den vSphere Client verwenden, um die aktive vCenter Server-STS-Signaturzertifikatskette anzuzeigen.

Sie können die folgenden Informationen zum aktiven STS-Zertifikat anzeigen.

  • „Gültig bis“-Datum
  • Ein grünes Häkchen für ein gültiges Zertifikat und eine Warnung mit einem orangefarbenen Häkchen für ein abgelaufenes Zertifikat
  • Ein Link Details anzeige, um die aktive Zertifikatskette anzuzeigen

Prozedur

  1. Melden Sie sich mit vSphere Client bei vCenter Server an.
  2. Geben Sie den Benutzernamen und das Kennwort für einen Benutzer ein, der mindestens über Leseberechtigungen verfügt.
  3. Navigieren Sie zur Benutzeroberfläche für die Zertifikatsverwaltung.
    1. Wählen Sie im Menü Home die Option Verwaltung aus.
    2. Klicken Sie unter Zertifikate auf Zertifikatsverwaltung.
  4. Wenn Sie vom System aufgefordert werden, geben Sie die Anmeldedaten Ihres vCenter Server ein.
  5. Um Details für das aktive STS-Zertifikat anzuzeigen, klicken Sie auf Details anzeigen.

Bestimmen des Ablaufdatums eines LDAPS-SSL-Zertifikats über die Befehlszeile

Wenn Sie Active Directory über LDAPS verwenden, können Sie ein SSL-Zertifikat für den LDAP-Datenverkehr hochladen. SSL-Zertifikate werden nach einer vordefinierten Laufzeit ungültig. Sie können das Ablaufdatum des Zertifikats mit dem Befehl sso-config.sh anzeigen, um das Zertifikat vor seinem Ablauf zu ersetzen oder zu erneuern.

vCenter Server warnt Sie, wenn ein aktives LDAP-SSL-Zertifikat demnächst abläuft.

Sie sehen Daten zum Zertifikatsablauf nur, wenn Sie Active Directory über LDAP oder eine OpenLDAP-Identitätsquelle verwenden und eine ldaps://-URL für den Server angeben.

Voraussetzungen

Aktivieren Sie die SSH-Anmeldung bei vCenter Server. Weitere Informationen hierzu finden Sie unter Verwalten von vCenter Server über die vCenter Server-Shell.

Prozedur

  1. Melden Sie sich beim vCenter Server als Root-Benutzer an.
  2. Führen Sie den folgenden Befehl aus.
    /opt/vmware/bin/sso-config.sh -get_identity_sources

    Ignorieren Sie die SLF4J-Nachrichten.

  3. Zum Festlegen des Ablaufdatums zeigen Sie die Details des SSL-Zertifikats an und überprüfen Sie das Feld NotAfter.