Generar un nuevo certificado de firma de STS en una instalación de Windows de vCenter

Como el certificado de firma del servicio de token de seguridad (Security Token Service, STS) de vCenter Single Sign-On es un certificado de VMware interno, no lo reemplace a menos que la empresa exija el reemplazo de los certificados internos. Si desea reemplazar el certificado de firma de STS predeterminado, primero debe generar un certificado nuevo y agregarlo al almacén de claves de Java. Este procedimiento explica los pasos en una instalación de Windows.

Nota: Este certificado es válido durante diez años y no es un certificado externo. No reemplace este certificado a menos que la directiva de seguridad de su empresa así lo exija.

Consulte Generar un nuevo certificado de firma de STS en el dispositivo si está usando un dispositivo virtual.

Procedimiento

Cree un directorio para alojar el nuevo certificado.

cd C:\ProgramData\VMware\vCenterServer\cfg\sso\keys\
mkdir newsts
cd newsts

Realice una copia del archivo certool.cfg y colóquela en el nuevo directorio.
```
copy "C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg" .
```

Abra una copia del archivo certool.cfg y edítela para usar el nombre de host y la dirección IP de Platform Services Controller local.

El país es obligatorio y tiene que ser de dos caracteres. Esto se muestra en el siguiente ejemplo.

#
# Template file for a CSR request
#

# Country is needed and has to be 2 characters
Country = US
Name = STS
Organization = ExampleInc
OrgUnit = ExampleInc Dev
State = Indiana
Locality = Indianapolis
IPAddress = 10.0.1.32
Email = [email protected]
Hostname = homecenter.exampleinc.local

Genere la clave.

"C:\Program Files\VMware\vCenter Server\vmcad\certool.exe" --server localhost --genkey --privkey=sts.key --pubkey=sts.pub

Genere el certificado.

"C:\Program Files\VMware\vCenter Server\vmcad\certool.exe" --gencert --cert=newsts.cer --privkey=sts.key --config=certool.cfg

Convierta el certificado al formato PK12.

"C:\Program Files\VMware\vCenter Server\openSSL\openssl.exe" pkcs12 -export -in newsts.cer -inkey sts.key -certfile C:\ProgramData\VMware\vCenterServer\data\vmca\root.cer -name "newstssigning" -passout pass:changeme -out newsts.p12

Agregue el certificado al almacén de claves de Java (Java Keystore, JKS).

"C:\Program Files\VMware\vCenter Server\jre\bin\keytool.exe" -v -importkeystore -srckeystore newsts.p12 -srcstoretype pkcs12 -srcstorepass changeme -srcalias newstssigning -destkeystore root-trust.jks -deststoretype JKS -deststorepass testpassword -destkeypass testpassword
"C:\Program Files\VMware\vCenter Server\jre\bin\keytool.exe" -v -importcert -keystore root-trust.jks -deststoretype JKS -storepass testpassword -keypass testpassword -file C:\ProgramData\VMware\vCenterServer\data\vmca\root.cer -alias root-ca

Qué hacer a continuación

Ahora puede importar el certificado nuevo. Consulte Actualizar el certificado del servicio de token de seguridad.