El servidor vCenter Single Sign-On incluye un servicio de token de seguridad (STS). El STS es un servicio web que emite, valida y renueva los tokens de seguridad. Puede actualizar manualmente el certificado actual del STS en vSphere Web Client cuando el certificado caduque o se modifique.

Antes de empezar

Copie el certificado que acaba de agregar al almacén de claves de Java desde Platform Services Controller en la estación de trabajo local.

Dispositivo Platform Services Controller

certificate_location/keys/root-trust.jks Por ejemplo: /keys/root-trust.jks

Por ejemplo:

/root/newsts/keys/root-trust.jks

Instalación de Windows

certificate_location\root-trust.jks

Por ejemplo:

C:\Archivos de programa\VMware\vCenter Server\jre\bin\root-trust.jks

Por qué y cuándo se efectúa esta tarea

Para adquirir un token SAML, un usuario presenta las credenciales principales ante el STS. Las credenciales principales dependen del tipo de usuario:

Usuario de solución

Certificado válido

Otros usuarios

Nombre de usuario y contraseña disponibles en un origen de identidad de vCenter Single Sign-On.

El STS autentica al usuario mediante las credenciales principales y crea un token SAML que contiene los atributos del usuario. El servicio STS firma el token SAML con su certificado de firma de STS y, a continuación, asigna el token a un usuario. De forma predeterminada, VMCA genera el certificado de firma del STS.

Una vez que el usuario tiene un token SAML, este se envía como parte de las solicitudes HTTP del usuario, posiblemente a través de varios proxy. Únicamente el destinatario previsto (el proveedor de servicios) puede utilizar la información del token SAML.

Es posible reemplazar el certificado de firma de STS actual de vSphere Web Client si la directiva de la empresa así lo requiere, o si se desea actualizar un certificado caducado.

PRECAUCIÓN:

No reemplace el archivo en el sistema de archivos. Si lo hace, se generarán errores inesperados y difíciles de depurar.

Nota:

Después de reemplazar el certificado, debe reiniciar el nodo para reiniciar los servicios STS y vSphere Web Client.

Procedimiento

  1. Inicie sesión en vSphere Web Client como administrator@vsphere.local u otro usuario con privilegios de administrador de vCenter Single Sign-On.

    Los usuarios con privilegios de administrador de vCenter Single Sign-On están en el grupo de administradores del dominio vsphere.local.

  2. Seleccione la pestaña Certificados, la subpestaña Firma de STS y, a continuación, haga clic en el icono Agregar certificado de firma de STS.
  3. Agregue el certificado.
    1. Haga clic en Examinar para desplazarse hasta el archivo JKS de almacenamiento de claves que contiene el nuevo certificado y haga clic en Abrir.
    2. Escriba la contraseña cuando se le solicite.
    3. Haga clic en la parte superior de la cadena de alias de STS y haga clic en Aceptar.
    4. Escriba la contraseña nuevamente cuando se le solicite.
  4. Haga clic en Aceptar.
  5. Reinicie el nodo de Platform Services Controller para iniciar tanto el servicio STS como vSphere Web Client.

    Antes de reiniciar, la autenticación no funciona correctamente, por lo que es esencial que reinicie.