Si quiere reemplazar el certificado de firma de STS predeterminado, tiene que generar primero un certificado nuevo y agregarlo al almacén de claves de Java. Este procedimiento explica los pasos en una instalación de Windows.

Por qué y cuándo se efectúa esta tarea

Nota:

Este certificado es válido durante diez años y no es un certificado externo. No reemplace este certificado a menos que la directiva de seguridad de su empresa así lo exija.

Consulte Generar un nuevo certificado de firma de STS en el dispositivo si está usando un dispositivo virtual.

Procedimiento

  1. Cree un nuevo directorio para alojar el nuevo certificado.
    cd C:\ProgramData\VMware\vCenterServer\cfg\sso\keys\
    mkdir newsts
    cd newsts
  2. Realice una copia del archivo certool.cfg y colóquela en el nuevo directorio.
    copy "C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg" .
  3. Abra una copia del archivo certool.cfg y edítela para usar el nombre de host y la dirección IP de Platform Services Controller local.

    El país es obligatorio y tiene que ser de dos caracteres. Esto se muestra en el siguiente ejemplo.

    #
    # Template file for a CSR request
    #
    
    # Country is needed and has to be 2 characters
    Country = US
    Name = STS
    Organization = ExampleInc
    OrgUnit = ExampleInc Dev
    State = Indiana
    Locality = Indianapolis
    IPAddress = 10.0.1.32
    Email = chen@exampleinc.com
    Hostname = homecenter.exampleinc.local
  4. Genere la clave.
    "C:\Program Files\VMware\vCenter Server\vmcad\certool.exe" --server localhost --genkey --privkey=sts.key --pubkey=sts.pub
  5. Genere el certificado.
    "C:\Program Files\VMware\vCenter Server\vmcad\certool.exe" --gencert --cert=newsts.cer --privkey=sts.key --config=certool.cfg
  6. Convierta el certificado al formato PK12.
    "C:\Program Files\VMware\vCenter Server\openSSL\openssl.exe" pkcs12 -export -in newsts.cer -inkey sts.key -certfile ..\ssoserverRoot.crt -name "newstssigning" -passout pass:changeme -out newsts.p12
    
  7. Agregue el certificado al almacén de claves de Java (JKS).
    "C:\Program Files\VMware\vCenter Server\jre\bin\keytool.exe" -v -importkeystore -srckeystore newsts.p12 -srcstoretype pkcs12 -srcstorepass changeme -srcalias newstssigning -destkeystore root-trust.jks -deststoretype JKS -deststorepass testpassword -destkeypass testpassword
    "C:\Program Files\VMware\vCenter Server\jre\bin\keytool.exe" -v -importcert -keystore root-trust.jks -deststoretype JKS -storepass testpassword -keypass testpassword -file ..\ssoserverRoot.crt -alias root-ca

Qué hacer a continuación

Ahora puede importar el certificado nuevo. Consulte Actualizar el certificado del servicio de token de seguridad.