Der Security Token Service (STS) von vCenter Server ist ein Webservice, der Sicherheitstoken ausstellt, validiert und erneuert.
Als Token-Aussteller verwendet der Security Token Service einen privaten Schlüssel zum Signieren von Token und veröffentlicht die öffentlichen Zertifikate für Dienste, um die Token-Signatur zu überprüfen. Der vCenter Server verwaltet die STS-Signaturzertifikate und speichert sie im VMware Directory Service (vmdir). Token können eine beträchtliche Lebensdauer haben und historisch gesehen mit einem beliebigen von mehreren Schlüsseln signiert worden sein.
Die Benutzer geben ihre primären Anmeldedaten bei der STS-Schnittstelle ein, um Token zu erhalten. Die primären Anmeldedaten hängen vom Benutzertyp ab.
Benutzertyp | Primäre Anmeldedaten |
---|---|
Lösungsbenutzer | Gültiges Zertifikat. |
Andere Benutzer | In einer vCenter Single Sign On-Identitätsquelle verfügbarer Benutzername und verfügbares Kennwort. |
STS authentifiziert den Benutzer anhand der primären Anmeldedaten und erstellt ein SAML-Token mit Benutzerattributen.
Standardmäßig generiert VMware Certificate Authority (VMCA) das STS-Signaturzertifikat. Sie können das STS-Signaturzertifikat mit einem neuen VMCA-Zertifikat aktualisieren. Sie können das standardmäßige STS-Signaturzertifikat auch durch ein benutzerdefiniertes oder von Einem Drittanbieter generiertes STS-Signaturzertifikat importieren und ersetzen. Ersetzen Sie das STS-Signaturzertifikat nur dann, wenn die Sicherheitsrichtlinien Ihres Unternehmens das Ersetzen aller Zertifikate erfordern.
Mithilfe des vSphere Client können Sie folgende Aktionen ausführen:
- STS-Zertifikate aktualisieren
- Benutzerdefinierte STS-Zertifikate und von Drittanbietern generierte STS-Zertifikate importieren und ersetzen
- Details zu STS-Zertifikaten anzeigen, z. B. das Ablaufdatum
Sie können auch die Befehlszeile verwenden, um benutzerdefinierte und von Drittanbietern generierte STS-Zertifikate zu ersetzen.
STS-Zertifikatslaufzeit und -ablauf
Bei einer Neuinstallation von vSphere 7.0 Update 1 und höher wird ein STS-Signaturzertifikat mit einer Laufzeit von 10 Jahren erstellt. Wenn ein STS-Signaturzertifikat kurz vor dem Ablauf steht, werden Sie durch einen Alarm ab 90 Tagen vor Ablauf einmal pro Woche und ab 7 Tagen vor Ablauf täglich gewarnt.
Automatische Verlängerung des STS-Zertifikats
In vSphere 8.0 und höher wird ein von VMCA erstelltes STS-Signaturzertifikat automatisch mithilfe von vCenter Single Sign On verlängert. Die automatische Verlängerung erfolgt, bevor das STS-Signaturzertifikat abläuft und bevor der 90-Tage-Ablaufalarm ausgelöst wird. Wenn die automatische Verlängerung fehlschlägt, erstellt vCenter Single Sign On eine Fehlermeldung in der Protokolldatei. Bei Bedarf können Sie das STS-Signaturzertifikat manuell aktualisieren.
Aktualisieren und Importieren und Ersetzen von STS-Zertifikaten
Ab vSphere 8.0 ist für das Aktualisieren oder Importieren und Ersetzen der STS-Signaturzertifikate kein vCenter Server-Neustart erforderlich, wodurch Ausfallzeiten vermieden werden. Darüber hinaus werden in einer verknüpften Konfiguration beim Aktualisieren oder Importieren und Ersetzen der STS-Signaturzertifikate auf einem einzelnen vCenter Server die STS-Zertifikate auf allen verknüpften vCenter Server-Systemen aktualisiert.
Aktualisieren eines vCenter Server-STS-Zertifikats mithilfe des vSphere Client
Sie können Ihre vCenter Server-STS-Signaturzertifikate mithilfe des vSphere Client aktualisieren. Der VMware Certificate Authority (VMCA) stellt ein neues Zertifikat aus und ersetzt das aktuelle Zertifikat.
Wenn Sie STS-Signaturzertifikate aktualisieren, stellt VMware Certificate Authority (VMCA) ein neues Zertifikat aus und ersetzt das aktuelle Zertifikat im VMware Directory Service (vmdir). STS beginnt, das neue Zertifikat zu verwenden, damit neue Token ausgegeben werden. Bei einer Konfiguration mit dem erweiterten verknüpften Modus lädt vmdir das neue Zertifikat vom ausstellenden vCenter Server-System auf alle verknüpften vCenter Server-Systeme hoch. Wenn Sie STS-Signaturzertifikate aktualisieren, müssen Sie das vCenter Server-System und alle anderen vCenter Server-Systeme nicht neu starten, die Teil einer Konfiguration mit dem erweiterten verknüpften Modus sind.
Falls Sie ein benutzerdefiniertes generiertes STS-Signaturzertifikat oder ein STS-Signaturzertifikat eines Drittanbieters verwenden, wird dieses Zertifikat bei der Aktualisierung mit einem von VMCA ausgestellten Zertifikat überschrieben. Um benutzerdefinierte generierte STS-Signaturzertifikate oder STS-Signaturzertifikate von Drittanbietern zu aktualisieren, verwenden Sie die Option zum Importieren und Ersetzen. Weitere Informationen finden Sie unter Importieren und Ersetzen eines vCenter Server-STS-Zertifikats mithilfe des vSphere Client.
Das von VMCA ausgestellte STS-Signaturzertifikat ist 10 Jahre lang gültig und ist kein externes Zertifikat. Ersetzen Sie dieses Zertifikat nur dann, wenn die Sicherheitsrichtlinien Ihres Unternehmens dies erfordern.
Voraussetzungen
Für die Zertifikatsverwaltung müssen Sie das Kennwort des Administrators für die lokale Domäne angeben (standardmäßig [email protected]). Beim Verlängern von Zertifikaten müssen Sie auch die vCenter Single Sign On-Anmeldedaten eines Benutzers mit Administratorrechten für das vCenter Server-System eingeben.
Prozedur
Importieren und Ersetzen eines vCenter Server-STS-Zertifikats mithilfe des vSphere Client
Sie können das vCenter Server-STS-Zertifikat mithilfe des vSphere Client importieren und durch ein benutzerdefiniertes generiertes Zertifikat oder ein Drittanbieterzertifikat ersetzen.
Um das standardmäßige STS-Signaturzertifikat zu importieren und zu ersetzen, müssen Sie zuerst ein neues Zertifikat generieren. Wenn Sie STS-Signaturzertifikate importieren und ersetzen, lädt der VMware Directory Service (vmdir) das neue Zertifikat vom ausstellenden vCenter Server-System auf alle verknüpften vCenter Server-Systeme hoch.
Das STS-Zertifikat ist kein externes Zertifikat. Ersetzen Sie dieses Zertifikat nur dann, wenn die Sicherheitsrichtlinien Ihres Unternehmens dies erfordern.
Voraussetzungen
Für die Zertifikatsverwaltung müssen Sie das Kennwort des Administrators für die lokale Domäne angeben (standardmäßig [email protected]). Darüber hinaus müssen Sie die vCenter Single Sign On-Anmeldedaten eines Benutzers mit Administratorrechten für das vCenter Server-System eingeben.
Prozedur
Ersetzen eines vCenter Server-STS-Zertifikats über die Befehlszeile
Sie können das vCenter Server-STS-Zertifikat über die CLI durch ein benutzerdefiniertes generiertes Zertifikat oder ein Drittanbieterzertifikat ersetzen.
Um ein im Unternehmen erforderliches Zertifikat zu verwenden oder ein Zertifikat zu aktualisieren, das fast abgelaufen ist, können Sie das vorhandene STS-Signaturzertifikat ersetzen. Um das standardmäßige STS-Signaturzertifikat zu ersetzen, müssen Sie zuerst ein neues Zertifikat generieren.
Das STS-Zertifikat ist kein externes Zertifikat. Ersetzen Sie dieses Zertifikat nur dann, wenn die Sicherheitsrichtlinien Ihres Unternehmens dies erfordern.
Voraussetzungen
Aktivieren Sie die SSH-Anmeldung bei vCenter Server. Weitere Informationen hierzu finden Sie unter Verwalten von vCenter Server über die vCenter Server-Shell.
Prozedur
Anzeigen der aktiven vCenter Server-STS-Signaturzertifikatskette mit dem vSphere Client
Sie können den vSphere Client verwenden, um die aktive vCenter Server-STS-Signaturzertifikatskette und die Zertifikatsinformationen anzuzeigen, z. B. das „Gültig bis“-Datum.
Prozedur
Bestimmen des Ablaufdatums eines LDAPS-SSL-Zertifikats über die Befehlszeile
Wenn Sie Active Directory über LDAPS verwenden, können Sie ein SSL-Zertifikat für den LDAP-Datenverkehr hochladen. SSL-Zertifikate werden nach einer vordefinierten Laufzeit ungültig. Sie können das Ablaufdatum des Zertifikats mit dem Befehl sso-config.sh anzeigen, um das Zertifikat vor seinem Ablauf zu ersetzen oder zu erneuern.
vCenter Server warnt Sie, wenn ein aktives LDAP-SSL-Zertifikat demnächst abläuft.
Sie sehen Daten zum Zertifikatsablauf nur, wenn Sie Active Directory über LDAP oder eine OpenLDAP-Identitätsquelle verwenden und eine ldaps://-URL für den Server angeben.
Voraussetzungen
Aktivieren Sie die SSH-Anmeldung bei vCenter Server. Weitere Informationen hierzu finden Sie unter Verwalten von vCenter Server über die vCenter Server-Shell.