Puede reemplazar el certificado vCenter Server STS por un certificado de terceros o generado de forma personalizada mediante la CLI.

Para utilizar un certificado obligatorio de la empresa o para actualizar un certificado que está a punto de caducar, puede reemplazar el certificado de firma de STS existente. Para importar el certificado de firma de STS predeterminado, primero debe generar un nuevo certificado.

El certificado STS no es un certificado externo. No reemplace este certificado a menos que la directiva de seguridad de su empresa lo requiera.

Precaución: Debe seguir los procedimientos que se describen a continuación. No reemplace el certificado directamente en el sistema de archivos.

Requisitos previos

Habilitar inicio de sesión en SSH en vCenter Server. Consulte Administrar vCenter Server desde el shell de vCenter Server.

Procedimiento

  1. Inicie sesión en el shell de vCenter Server como raíz.
  2. Cree un certificado.
    1. Cree un directorio de nivel superior para mantener el nuevo certificado y compruebe la ubicación del directorio.
      mkdir newsts
      cd newsts
      pwd 
      #resulting output: /root/newsts
    2. Copie el archivo certool.cfg en el nuevo directorio.
      cp /usr/lib/vmware-vmca/share/config/certool.cfg /root/newsts
      
    3. Utilizando un editor de línea de comandos, como Vim, abra una copia del archivo certool.cfg y edítela para usar el nombre de host y la dirección IP de vCenter Server local. El país es obligatorio y tiene que ser de dos caracteres, como se muestra en el siguiente ejemplo.
      #
      # Template file for a CSR request
      #
      
      # Country is needed and has to be 2 characters
      Country = US
      Name = STS
      Organization = ExampleInc
      OrgUnit = ExampleInc Dev
      State = Indiana
      Locality = Indianapolis
      IPAddress = 10.0.1.32
      Email = [email protected]
      Hostname = homecenter.exampleinc.local
    4. Genere la clave.
      /usr/lib/vmware-vmca/bin/certool --server localhost --genkey --privkey=/root/newsts/sts.key --pubkey=/root/newsts/sts.pub
      
    5. Genere el certificado.
      /usr/lib/vmware-vmca/bin/certool --gencert --cert=/root/newsts/newsts.cer --privkey=/root/newsts/sts.key --config=/root/newsts/certool.cfg
      
    6. Cree un archivo PEM con la cadena de certificados y la clave privada.
      cat newsts.cer /var/lib/vmware/vmca/root.cer sts.key > newsts.pem
  3. Actualice el certificado de firma de STS, por ejemplo:
    /opt/vmware/bin/sso-config.sh -set_signing_cert -t vsphere.local /root/newsts/newsts.pem
  4. Reinicie el sistema vCenter Server y cualquier otro sistema vCenter Server que forme parte de una configuración de Enhanced Linked Mode. Consulte el tema sobre cómo reiniciar vCenter Server en la documentación de Configuración de vCenter Server.
    Para que la autenticación funcione correctamente, debe reiniciar vCenter Server. Se reinician tanto el servicio STS como vSphere Client.