Generar un nuevo certificado de firma de STS en el dispositivo

Como el certificado de firma del servicio de token de seguridad (Security Token Service, STS) de vCenter Single Sign-On es un certificado de VMware interno, no lo reemplace a menos que la empresa exija el reemplazo de los certificados internos. Si desea reemplazar el certificado de firma de STS predeterminado, debe generar un certificado nuevo y agregarlo al almacén de claves de Java. Este procedimiento explica los pasos en un dispositivo de implementación integrado o un dispositivo de Platform Services Controller externo.

Nota: Este certificado es válido durante diez años y no es un certificado externo. No reemplace este certificado a menos que la directiva de seguridad de su empresa así lo exija.

Consulte Generar un nuevo certificado de firma de STS en una instalación de Windows de vCenter si está ejecutando una instalación de Windows de Platform Services Controller.

Procedimiento

Cree un directorio de nivel superior para mantener el nuevo certificado y compruebe la ubicación del directorio.
```
mkdir newsts
cd newsts
pwd 
#resulting output: /root/newst
```

Copie el archivo certool.cfg en el nuevo directorio.

cp /usr/lib/vmware-vmca/share/config/certool.cfg /root/newsts

Abra una copia del archivo certool.cfg y edítela para usar el nombre de host y la dirección IP de Platform Services Controller local.

El país es obligatorio y tiene que ser de dos caracteres, como se muestra en el siguiente ejemplo.

#
# Template file for a CSR request
#

# Country is needed and has to be 2 characters
Country = US
Name = STS
Organization = ExampleInc
OrgUnit = ExampleInc Dev
State = Indiana
Locality = Indianapolis
IPAddress = 10.0.1.32
Email = [email protected]
Hostname = homecenter.exampleinc.local

Genere la clave.

/usr/lib/vmware-vmca/bin/certool --server localhost --genkey --privkey=/root/newsts/sts.key --pubkey=/root/newsts/sts.pub

Genere el certificado.

/usr/lib/vmware-vmca/bin/certool --gencert --cert=/root/newsts/newsts.cer --privkey=/root/newsts/sts.key --config=/root/newsts/certool.cfg

Convierta el certificado al formato PK12.

openssl pkcs12 -export -in /root/newsts/newsts.cer -inkey /root/newsts/sts.key -certfile /var/lib/vmware/vmca/root.cer -name "newstssigning" -passout pass:testpassword -out newsts.p12

Agregue el certificado al almacén de claves de Java (Java Keystore, JKS).

/usr/java/jre-vmware/bin/keytool -v -importkeystore -srckeystore newsts.p12 -srcstoretype pkcs12 -srcstorepass testpassword -srcalias newstssigning -destkeystore root-trust.jks -deststoretype JKS -deststorepass testpassword -destkeypass testpassword

/usr/java/jre-vmware/bin/keytool -v -importcert -keystore root-trust.jks -deststoretype JKS -storepass testpassword -keypass testpassword -file /var/lib/vmware/vmca/root.cer -alias root-ca

Utilice keytool -help para obtener una lista de todos los comandos disponibles.

Cuando se le solicite, escriba Sí para aceptar el certificado en el almacén de claves.

Qué hacer a continuación

Ahora puede importar el certificado nuevo. Consulte Actualizar el certificado del servicio de token de seguridad.