Puede actualizar los certificados de firma de STS vCenter Server mediante el vSphere Client. El VMware Certificate Authority (VMCA) emite un nuevo certificado y reemplaza el certificado actual.

Al actualizar los certificados de firma de STS, el VMware Certificate Authority (VMCA) emite un nuevo certificado y reemplaza el certificado actual en VMware Directory Service (vmdir). STS comienza a utilizar el nuevo certificado para emitir nuevos tokens. En una configuración de Enhanced Linked Mode, vmdir carga el nuevo certificado del sistema vCenter Server emisor a todos los sistemas vCenter Server vinculados. Al actualizar los certificados de firma de STS, debe reiniciar el sistema vCenter Server y cualquier otro sistema vCenter Server que forme parte de una configuración de Enhanced Linked Mode.

Si utiliza un certificado de firma de STS de terceros o generado personalizado, la actualización sobrescribe ese certificado con un certificado emitido por VMCA. Para actualizar certificados de firma de STS de terceros o generados de forma personalizada, utilice la opción importar y reemplazar. Consulte Importar y reemplazar un certificado vCenter Server STS mediante el vSphere Client.

El certificado de firma de STS emitido por VMCA es válido durante diez años y no es un certificado externo. No reemplace este certificado a menos que la directiva de seguridad de su empresa lo requiera.

Requisitos previos

Para la administración de certificados, debe proporcionar la contraseña del administrador del dominio local ([email protected] de forma predeterminada). Si está renovando certificados, también puede proporcionar las credenciales de vCenter Single Sign-On para un usuario con privilegios de administrador en el sistema vCenter Server.

Procedimiento

  1. Inicie sesión con vSphere Client en vCenter Server.
  2. Especifique el nombre de usuario y la contraseña para [email protected] u otro miembro del grupo de administradores de vCenter Single Sign-On.
    Si especificó otro dominio durante la instalación, inicie sesión como administrator@ mydomain.
  3. Desplácese hasta la interfaz de usuario de administración de certificados.
    1. En el menú Inicio, seleccione Administración.
    2. En Certificados, haga clic en Administración de certificados.
  4. Si el sistema lo solicita, introduzca las credenciales de su instancia de vCenter Server.
  5. En Certificado de firma de STS, haga clic en Acciones > Actualizar con certificado de vCenter.
    Si utiliza un certificado de firma de STS de terceros o generado personalizado, la acción de actualización sobrescribe ese certificado con un certificado generado por VMCA.
    Nota: Si utilizaba certificados de terceros por motivos de cumplimiento, es posible que la actualización haga que los sistemas vCenter Server no cumplan con las directivas de conformidad. Además, si utiliza un certificado de firma de STS de terceros o generado personalizado, el servicio de token de seguridad ya no utiliza ese certificado personalizado o de terceros para la firma de tokens.
  6. Haga clic en Actualizar.
    VMCA actualiza el certificado de firma de STS en este sistema vCenter Server y en cualquier sistema vCenter Server vinculado.
  7. (opcional) Si aparece el botón Forzar actualización, vCenter Single Sign-On detectó un problema. Antes de hacer clic en Forzar actualización, tenga en cuenta los siguientes resultados potenciales.
    • Si todos los sistemas vCenter Server afectados no ejecutan al menos vSphere 7.0 Update 3, no admiten la actualización del certificado.
    • Si selecciona Forzar actualización requiere que reinicie todos los sistemas vCenter Server y que dichos sistemas no puedan funcionar hasta que usted lo haga.
    1. Si no está seguro del impacto, haga clic en Cancel e investigue su entorno.
    2. Si está seguro del impacto, haga clic en Forzar actualización para continuar con la actualización y, a continuación, reinicie manualmente los sistemas vCenter Server.

Qué hacer a continuación

Para asegurarse de que todos los servicios STS de una configuración de Enhanced Linked Mode validen los nuevos tokens, debe reiniciar los sistemas de vCenter Server vinculados. Consulte el tema sobre cómo reiniciar vCenter Server en la documentación de Configuración de vCenter Server.