Si quiere reemplazar el certificado de firma del servicio de token de seguridad (STS) de vCenter Single Sign-On predeterminado, tiene que generar un certificado nuevo y agregarlo al almacén de claves de Java. Este procedimiento explica los pasos en un dispositivo de implementación integrado o un dispositivo de Platform Services Controller externo.

Por qué y cuándo se efectúa esta tarea

Nota:

Este certificado es válido durante diez años y no es un certificado externo. No reemplace este certificado a menos que la directiva de seguridad de su empresa así lo exija.

Consulte Generar un nuevo certificado de firma de STS en una instalación de Windows de vCenter si está ejecutando una instalación de Windows de Platform Services Controller.

Procedimiento

  1. Cree un directorio de nivel superior para mantener el nuevo certificado y compruebe la ubicación del directorio.
    mkdir newsts
    cd newsts
    pwd 
    #resulting output: /root/newst
  2. Copie el archivo certool.cfg en el nuevo directorio.
    cp /usr/lib/vmware-vmca/share/config/certool.cfg /root/newsts
    
  3. Abra una copia del archivo certool.cfg y edítela para usar el nombre de host y la dirección IP de Platform Services Controller local.

    El país es obligatorio y tiene que ser de dos caracteres, como se muestra en el siguiente ejemplo.

    #
    # Template file for a CSR request
    #
    
    # Country is needed and has to be 2 characters
    Country = US
    Name = STS
    Organization = ExampleInc
    OrgUnit = ExampleInc Dev
    State = Indiana
    Locality = Indianapolis
    IPAddress = 10.0.1.32
    Email = chen@exampleinc.com
    Hostname = homecenter.exampleinc.local
  4. Genere la clave.
    /usr/lib/vmware-vmca/bin/certool --server localhost --genkey --privkey=/root/newsts/sts.key --pubkey=/root/newsts/sts.pub
  5. Genere el certificado.
    /usr/lib/vmware-vmca/bin/certool --gencert --cert=/root/newsts/newsts.cer --privkey=/root/newsts/sts.key --config=/root/newsts/certool.cfg
    
  6. Convierta el certificado al formato PK12.
    openssl pkcs12 -export -in /root/newsts/newsts.cer -inkey /root/newsts/sts.key -certfile /etc/vmware-sso/keys/ssoserverRoot.crt -name "newstssigning" -passout pass:changeme -out newsts.p12
  7. Agregue el certificado al almacén de claves de Java (JKS).
    /usr/java/jre-vmware/bin/keytool -v -importkeystore -srckeystore newsts.p12 -srcstoretype pkcs12 -srcstorepass changeme -srcalias newstssigning -destkeystore root-trust.jks -deststoretype JKS -deststorepass testpassword -destkeypass testpassword
    
    /usr/java/jre-vmware/bin/keytool -v -importcert -keystore root-trust.jks -deststoretype JKS -storepass testpassword -keypass testpassword -file /etc/vmware-sso/keys/ssoserverRoot.crt -alias root-ca
    
  8. Cuando se le solicite, escriba para aceptar el certificado en el almacén de claves.

Qué hacer a continuación

Ahora puede importar el certificado nuevo. Consulte Actualizar el certificado del servicio de token de seguridad.