Puede reemplazar el certificado vCenter Server STS por un certificado de terceros o generado de forma personalizada mediante la CLI.
Para utilizar un certificado obligatorio de la empresa o para actualizar un certificado que está a punto de caducar, puede reemplazar el certificado de firma de STS existente. Para importar el certificado de firma de STS predeterminado, primero debe generar un nuevo certificado.
El certificado STS no es un certificado externo. No reemplace este certificado a menos que la directiva de seguridad de su empresa lo requiera.
Precaución: Debe seguir los procedimientos que se describen a continuación. No reemplace el certificado directamente en el sistema de archivos.
Procedimiento
- Inicie sesión en el shell de vCenter Server como raíz.
- Cree un certificado.
- Cree un directorio de nivel superior para mantener el nuevo certificado y compruebe la ubicación del directorio.
mkdir newsts
cd newsts
pwd
#resulting output: /root/newsts
- Copie el archivo certool.cfg en el nuevo directorio.
cp /usr/lib/vmware-vmca/share/config/certool.cfg /root/newsts
- Utilizando un editor de línea de comandos, como Vim, abra una copia del archivo certool.cfg y edítela para usar el nombre de host y la dirección IP de vCenter Server local. El país es obligatorio y tiene que ser de dos caracteres, como se muestra en el siguiente ejemplo.
#
# Template file for a CSR request
#
# Country is needed and has to be 2 characters
Country = US
Name = STS
Organization = ExampleInc
OrgUnit = ExampleInc Dev
State = Indiana
Locality = Indianapolis
IPAddress = 10.0.1.32
Email = [email protected]
Hostname = homecenter.exampleinc.local
- Genere la clave.
/usr/lib/vmware-vmca/bin/certool --server localhost --genkey --privkey=/root/newsts/sts.key --pubkey=/root/newsts/sts.pub
- Genere el certificado.
/usr/lib/vmware-vmca/bin/certool --gencert --cert=/root/newsts/newsts.cer --privkey=/root/newsts/sts.key --config=/root/newsts/certool.cfg
- Cree un archivo PEM con la cadena de certificados y la clave privada.
cat newsts.cer /var/lib/vmware/vmca/root.cer sts.key > newsts.pem
- Actualice el certificado de firma de STS, por ejemplo:
/opt/vmware/bin/sso-config.sh -set_signing_cert -t vsphere.local /root/newsts/newsts.pem
- Reinicie el sistema vCenter Server y cualquier otro sistema vCenter Server que forme parte de una configuración de Enhanced Linked Mode. Consulte el tema sobre cómo reiniciar vCenter Server en la documentación de Configuración de vCenter Server.
Para que la autenticación funcione correctamente, debe reiniciar
vCenter Server. Se reinician tanto el servicio STS como
vSphere Client.