El servidor vCenter Single Sign-On incluye un servicio de token de seguridad (STS). El STS es un servicio web que emite, valida y renueva los tokens de seguridad. Puede actualizar manualmente el certificado actual del STS en vSphere Web Client cuando el certificado caduque o se modifique.
Para adquirir un token SAML, un usuario presenta las credenciales principales ante el STS. Las credenciales principales dependen del tipo de usuario:
-
Usuario de solución
-
Certificado válido
-
Otros usuarios
-
Nombre de usuario y contraseña disponibles en un origen de identidad de
vCenter Single Sign-On.
El STS autentica al usuario mediante las credenciales principales y crea un token SAML que contiene los atributos del usuario. El servicio STS firma el token SAML con su certificado de firma de STS y, a continuación, asigna el token a un usuario. De forma predeterminada, VMCA genera el certificado de firma del STS.
Una vez que el usuario tiene un token SAML, este se envía como parte de las solicitudes HTTP del usuario, posiblemente a través de varios proxy. Únicamente el destinatario previsto (el proveedor de servicios) puede utilizar la información del token SAML.
Es posible reemplazar el certificado de firma de STS actual de
vSphere Web Client si la directiva de la empresa así lo requiere o si se desea actualizar un certificado caducado.
Precaución: No reemplace el archivo en el sistema de archivos. Si lo hace, se generarán errores inesperados y difíciles de depurar.
Nota: Después de reemplazar el certificado, debe reiniciar el nodo para reiniciar los servicios STS y
vSphere Web Client.
Requisitos previos
Copie el certificado que acaba de agregar al almacén de claves de Java desde
Platform Services Controller en la estación de trabajo local.
-
Dispositivo de
Platform Services Controller
-
certificate_location/keys/root-trust.jks Por ejemplo: /keys/root-trust.jks
-
Por ejemplo:
-
/root/newsts/keys/root-trust.jks
-
Instalación de Windows
-
certificate_location\root-trust.jks
-
Por ejemplo:
-
C:\Archivos de programa\VMware\vCenter Server\jre\bin\root-trust.jks
Procedimiento
- Inicie sesión en vSphere Web Client como [email protected] u otro usuario con privilegios de administrador de vCenter Single Sign-On.
Los usuarios con privilegios de administrador de
vCenter Single Sign-On están en el grupo Administradores, en el dominio de
vCenter Single Sign-On local (de manera predeterminada, vsphere.local).
- Desplácese hasta la interfaz de usuario de configuración.
- En el menú Inicio, seleccione Administración.
- En Single Sign On, haga clic en Configuración.
- Seleccione la pestaña Certificados, la subpestaña Firma de STS y, a continuación, haga clic en el icono Agregar certificado de firma de STS.
- Agregue el certificado.
- Haga clic en Examinar para desplazarse hasta el archivo JKS de almacenamiento de claves que contiene el nuevo certificado y haga clic en Abrir.
- Escriba la contraseña cuando se le solicite.
- Haga clic en la parte superior de la cadena de alias de STS y haga clic en Aceptar.
- Escriba la contraseña nuevamente cuando se le solicite.
- Haga clic en Aceptar.
- Reinicie el nodo de Platform Services Controller para iniciar tanto el servicio STS como vSphere Web Client.
Antes de reiniciar, la autenticación no funciona correctamente, por lo que es esencial que reinicie.