El servicio de token de seguridad (STS) de vCenter Server es un servicio web que emite, valida y renueva los tokens de seguridad.
Como emisor de tokens, el servicio de token de seguridad (STS) utiliza una clave privada para firmar tokens y publica los certificados públicos para que los servicios puedan comprobar la firma del token. vCenter Server administra los certificados de firma de STS y los almacena en VMware Directory Service (vmdir). Los tokens pueden tener una duración considerable e, históricamente, podrían haber sido firmados por diversas claves.
El STS autentica al usuario en función de las credenciales principales y crea un token SAML que contiene los atributos del usuario.
De forma predeterminada, VMware Certificate Authority (VMCA) genera el certificado de firma de STS. Puede actualizar el certificado de firma de STS con un nuevo certificado de VMCA. También puede importar y reemplazar el certificado de firma de STS predeterminado por un certificado de firma de STS personalizado o generado por terceros. No reemplace el certificado de firma STS a menos que la directiva de seguridad de la empresa exija que se reemplacen todos los certificados.
Puede utilizar el vSphere Client para:
- Actualizar certificados de STS
- Importar y reemplazar certificados STS personalizados y generados por terceros
- Ver detalles del certificado STS, como la fecha de caducidad
También puede utilizar la línea de comandos para reemplazar certificados STS personalizados y generados por terceros.
Duración y caducidad del certificado STS
Una instalación nueva de vSphere 7.0 Update 1 y posterior crea un certificado de firma de STS con una duración de 10 años. Cuando un certificado de firma de STS está a punto de caducar, una alarma le advierte empezando a los 90 días una vez por semana y, a continuación, a diario cuando quedan siete días.
