El servicio de token de seguridad (STS) de vCenter Server es un servicio web que emite, valida y renueva los tokens de seguridad.

Como emisor de tokens, el servicio de token de seguridad (STS) utiliza una clave privada para firmar tokens y publica los certificados públicos para que los servicios puedan comprobar la firma del token. vCenter Server administra los certificados de firma de STS y los almacena en VMware Directory Service (vmdir). Los tokens pueden tener una duración considerable e, históricamente, podrían haber sido firmados por diversas claves.

Los usuarios presentan sus credenciales principales a la interfaz de STS para adquirir los tokens. La credencial principal depende del tipo de usuario.

Tabla 1. Usuarios y credenciales de STS
Tipo de usuario Credenciales primarias
Usuario de solución Certificado válido.
Otros usuarios Nombre de usuario y contraseña disponibles en un origen de identidad de vCenter Single Sign-On.

El STS autentica al usuario en función de las credenciales principales y crea un token SAML que contiene los atributos del usuario.

De forma predeterminada, VMware Certificate Authority (VMCA) genera el certificado de firma de STS. Puede actualizar el certificado de firma de STS con un nuevo certificado de VMCA. También puede importar y reemplazar el certificado de firma de STS predeterminado por un certificado de firma de STS personalizado o generado por terceros. No reemplace el certificado de firma STS a menos que la directiva de seguridad de la empresa exija que se reemplacen todos los certificados.

Puede utilizar el vSphere Client para:

  • Actualizar certificados de STS
  • Importar y reemplazar certificados STS personalizados y generados por terceros
  • Ver detalles del certificado STS, como la fecha de caducidad

También puede utilizar la línea de comandos para reemplazar certificados STS personalizados y generados por terceros.

Duración y caducidad del certificado STS

Una instalación nueva de vSphere 7.0 Update 1 y posterior crea un certificado de firma de STS con una duración de 10 años. Cuando un certificado de firma de STS está a punto de caducar, una alarma le advierte empezando a los 90 días una vez por semana y, a continuación, a diario cuando quedan siete días.

Nota: En determinadas circunstancias, reemplazar los certificados de firma de STS puede cambiar la duración de los certificados. Al reemplazar certificados, preste atención a las fechas de emisión y caducidad.

Renovación automática del certificado STS

En vSphere 8.0 y versiones posteriores, vCenter Single Sign-On renueva automáticamente un certificado de firma del servicio de token de seguridad (STS, Security Token Service) generado por VMCA. La renovación automática se produce antes de que caduque el certificado de firma de STS y antes de activar la alarma de caducidad de 90 días. Si se produce un error en la renovación automática, vCenter Single Sign-On crea un mensaje de error en el archivo de registro. Si es necesario, puede actualizar el certificado de firma de STS manualmente.

Nota: vCenter Single Sign-On no realiza la renovación automática de certificados de firma de STS generados de forma personalizada o de terceros.

Actualizar y reemplazar certificados STS

En vSphere 8.0 y otras versiones posteriores, la actualización o la importación y el reemplazo de los certificados de firma de STS no requieren que se reinicie vCenter Server y, por lo tanto, evitan el tiempo de inactividad. Además, en una configuración vinculada, al actualizar o importar y reemplazar los certificados de firma de STS en un solo vCenter Server, se actualizan los certificados de STS en todos los sistemas vCenter Server vinculados.

Nota: Una actualización o importación de certificados de firma de STS puede requerir que se reinicien manualmente los sistemas vCenter Server.

Actualizar un certificado vCenter Server STS mediante el vSphere Client

Puede actualizar los certificados de firma de STS vCenter Server mediante el vSphere Client. El VMware Certificate Authority (VMCA) emite un nuevo certificado y reemplaza el certificado actual.

Al actualizar los certificados de firma de STS, el VMware Certificate Authority (VMCA) emite un nuevo certificado y reemplaza el certificado actual en VMware Directory Service (vmdir). STS comienza a utilizar el nuevo certificado para emitir nuevos tokens. En una configuración de Enhanced Linked Mode, vmdir carga el nuevo certificado del sistema vCenter Server emisor a todos los sistemas vCenter Server vinculados. Al actualizar los certificados de firma de STS, debe reiniciar el sistema vCenter Server y cualquier otro sistema vCenter Server que forme parte de una configuración de Enhanced Linked Mode.

Si utiliza un certificado de firma de STS de terceros o generado personalizado, la actualización sobrescribe ese certificado con un certificado emitido por VMCA. Para actualizar certificados de firma de STS de terceros o generados de forma personalizada, utilice la opción importar y reemplazar. Consulte Importar y reemplazar un certificado vCenter Server STS mediante el vSphere Client.

El certificado de firma de STS emitido por VMCA es válido durante diez años y no es un certificado externo. No reemplace este certificado a menos que la directiva de seguridad de su empresa lo requiera.

Requisitos previos

Para la administración de certificados, debe proporcionar la contraseña del administrador del dominio local ([email protected] de forma predeterminada). Si está renovando certificados, también puede proporcionar las credenciales de vCenter Single Sign-On para un usuario con privilegios de administrador en el sistema vCenter Server.

Procedimiento

  1. Inicie sesión con vSphere Client en vCenter Server.
  2. Especifique el nombre de usuario y la contraseña para [email protected] u otro miembro del grupo de administradores de vCenter Single Sign-On.
    Si especificó otro dominio durante la instalación, inicie sesión como administrator@ mydomain.
  3. Desplácese hasta la interfaz de usuario de administración de certificados.
    1. En el menú Inicio, seleccione Administración.
    2. En Certificados, haga clic en Administración de certificados.
  4. Si el sistema lo solicita, introduzca las credenciales de su instancia de vCenter Server.
  5. En la pestaña Firma de STS, seleccione el certificado que desee y haga clic en Actualizar con certificado de vCenter.
    Si utiliza un certificado de firma de STS de terceros o generado personalizado, la acción de actualización sobrescribe ese certificado con un certificado generado por VMCA.
    Nota: Si utilizaba certificados de terceros por motivos de cumplimiento, es posible que la actualización haga que los sistemas vCenter Server no cumplan con las directivas de conformidad. Además, si utiliza un certificado de firma de STS de terceros o generado personalizado, el servicio de token de seguridad ya no utiliza ese certificado personalizado o de terceros para la firma de tokens.
  6. Haga clic en Actualizar.
    VMCA actualiza el certificado de firma de STS en este sistema vCenter Server y en cualquier sistema vCenter Server vinculado.
  7. (opcional) Si aparece el botón Forzar actualización, vCenter Single Sign-On detectó un problema. Antes de hacer clic en Forzar actualización, tenga en cuenta los siguientes resultados potenciales.
    • Si todos los sistemas vCenter Server afectados no ejecutan al menos vSphere 7.0 Update 3, no admiten la actualización del certificado.
    • Si selecciona Forzar actualización requiere que reinicie todos los sistemas vCenter Server y que dichos sistemas no puedan funcionar hasta que usted lo haga.
    1. Si no está seguro del impacto, haga clic en Cancel e investigue su entorno.
    2. Si está seguro del impacto, haga clic en Forzar actualización para continuar con la actualización y, a continuación, reinicie manualmente los sistemas vCenter Server.

Importar y reemplazar un certificado vCenter Server STS mediante el vSphere Client

Puede importar y reemplazar el certificado vCenter Server STS por un certificado generado de forma personalizada o de terceros mediante el vSphere Client.

Para importar y reemplazar el certificado de firma de STS predeterminado, primero debe generar un nuevo certificado. Al importar y reemplazar certificados de firma de STS, el VMware Directory Service (vmdir) carga el nuevo certificado del sistema vCenter Server emisor en todos los sistemas vCenter Server vinculados.

El certificado STS no es un certificado externo. No reemplace este certificado a menos que la directiva de seguridad de su empresa lo requiera.

Requisitos previos

Para la administración de certificados, debe proporcionar la contraseña del administrador del dominio local ([email protected] de forma predeterminada). También debe proporcionar las credenciales de vCenter Single Sign-On para un usuario con privilegios de administrador en el sistema vCenter Server.

Procedimiento

  1. Inicie sesión con vSphere Client en vCenter Server.
  2. Especifique el nombre de usuario y la contraseña para [email protected] u otro miembro del grupo de administradores de vCenter Single Sign-On.
    Si especificó otro dominio durante la instalación, inicie sesión como administrator@ mydomain.
  3. Desplácese hasta la interfaz de usuario de administración de certificados.
    1. En el menú Inicio, seleccione Administración.
    2. En Certificados, haga clic en Administración de certificados.
  4. Si el sistema lo solicita, introduzca las credenciales de su instancia de vCenter Server.
  5. En la pestaña Firma de STS, seleccione el certificado que desee y haga clic en Importar y reemplazar certificado.
  6. Seleccione el archivo PEM.
    El archivo PEM incluye la cadena de certificados de firma y la clave privada.
  7. Haga clic en Reemplazar.
    El certificado de firma de STS se reemplaza en este sistema vCenter Server y en cualquier sistema de vCenter Server vinculado. A menos que se indique lo contrario, no es necesario reiniciar los sistemas vCenter Server.

Reemplazar un certificado vCenter Server STS mediante la línea de comandos

Puede reemplazar el certificado vCenter Server STS por un certificado de terceros o generado de forma personalizada mediante la CLI.

Para utilizar un certificado obligatorio de la empresa o para actualizar un certificado que está a punto de caducar, puede reemplazar el certificado de firma de STS existente. Para importar el certificado de firma de STS predeterminado, primero debe generar un nuevo certificado.

El certificado STS no es un certificado externo. No reemplace este certificado a menos que la directiva de seguridad de su empresa lo requiera.

Precaución: Debe seguir los procedimientos que se describen a continuación. No reemplace el certificado directamente en el sistema de archivos.

Requisitos previos

Habilitar inicio de sesión en SSH en vCenter Server. Consulte Administrar vCenter Server mediante el shell de vCenter Server.

Procedimiento

  1. Inicie sesión en el shell de vCenter Server como raíz.
  2. Cree un certificado.
    1. Cree un directorio de nivel superior para mantener el nuevo certificado y compruebe la ubicación del directorio.
      mkdir newsts
      cd newsts
      pwd 
      #resulting output: /root/newsts
    2. Copie el archivo certool.cfg en el nuevo directorio.
      cp /usr/lib/vmware-vmca/share/config/certool.cfg /root/newsts
      
    3. Utilizando un editor de línea de comandos, como Vim, abra una copia del archivo certool.cfg y edítela para usar el nombre de host y la dirección IP de vCenter Server local. El país es obligatorio y tiene que ser de dos caracteres, como se muestra en el siguiente ejemplo.
      #
      # Template file for a CSR request
      #
      
      # Country is needed and has to be 2 characters
      Country = US
      Name = STS
      Organization = ExampleInc
      OrgUnit = ExampleInc Dev
      State = Indiana
      Locality = Indianapolis
      IPAddress = 10.0.1.32
      Email = [email protected]
      Hostname = homecenter.exampleinc.local
    4. Genere la clave.
      /usr/lib/vmware-vmca/bin/certool --server localhost --genkey --privkey=/root/newsts/sts.key --pubkey=/root/newsts/sts.pub
      
    5. Genere el certificado.
      /usr/lib/vmware-vmca/bin/certool --gencert --cert=/root/newsts/newsts.cer --privkey=/root/newsts/sts.key --config=/root/newsts/certool.cfg
      
    6. Cree un archivo PEM con la cadena de certificados y la clave privada.
      cat newsts.cer /var/lib/vmware/vmca/root.cer sts.key > newsts.pem
  3. Actualice el certificado de firma de STS, por ejemplo:
    /opt/vmware/bin/sso-config.sh -set_signing_cert -t vsphere.local /root/newsts/newsts.pem
    VMCA actualiza el certificado de firma de STS en este sistema vCenter Server y en cualquier sistema vCenter Server vinculado.

Ver la cadena de certificados de firma de STS vCenter Server activos mediante el vSphere Client

Puede utilizar vSphere Client para ver la cadena de certificados de firma de STS de la instancia de vCenter Server activa y la información de certificación, como la fecha de validez.

Procedimiento

  1. Inicie sesión con vSphere Client en vCenter Server.
  2. Introduzca el nombre de usuario y la contraseña de un usuario que tenga al menos privilegios de lectura.
  3. Desplácese hasta la interfaz de usuario de administración de certificados.
    1. En el menú Inicio, seleccione Administración.
    2. En Certificados, haga clic en Administración de certificados.
  4. Si el sistema lo solicita, introduzca las credenciales de su instancia de vCenter Server.
  5. En la pestaña Firma de STS, seleccione un certificado y, a continuación, expanda el certificado.
    Se muestra información sobre el certificado y el problema, como:
    • Fecha de validez
    • Una marca de comprobación verde para un certificado válido y una marca de comprobación naranja de advertencia de un certificado caducado

Determinar la fecha de caducidad de un certificado SSL de LDAPS mediante la línea de comandos

Cuando se utiliza Active Directory en LDAP, puede cargar un certificado SSL para el tráfico LDAP. Los certificados SSL caducan después de un tiempo predefinido. Puede utilizar el comando sso-config.sh para ver la fecha de caducidad del certificado para que sepa cuándo reemplazar o renovar el certificado antes de que caduque.

vCenter Server le avisa cuando un certificado SSL de LDAP activo está próximo a su fecha de caducidad.

Solo puede ver la información de caducidad del certificado si utiliza un origen de identidad de OpenLDAP o Active Directory en LDAP, y si especifica una dirección URL ldaps:// para el servidor.

Requisitos previos

Habilitar inicio de sesión en SSH en vCenter Server. Consulte Administrar vCenter Server mediante el shell de vCenter Server.

Procedimiento

  1. Inicie sesión como raíz en vCenter Server.
  2. Ejecute el siguiente comando.
    /opt/vmware/bin/sso-config.sh -get_identity_sources

    Ignore los mensajes de SLF4J.

  3. Para determinar la fecha de caducidad, consulte los detalles del certificado SSL y compruebe el campo NotAfter.