El servicio de token de seguridad (STS) de vCenter Server es un servicio web que emite, valida y renueva los tokens de seguridad.
Como emisor de tokens, el servicio de token de seguridad (STS) utiliza una clave privada para firmar tokens y publica los certificados públicos para que los servicios puedan comprobar la firma del token. vCenter Server administra los certificados de firma de STS y los almacena en VMware Directory Service (vmdir). Los tokens pueden tener una duración considerable e, históricamente, podrían haber sido firmados por diversas claves.
Los usuarios presentan sus credenciales principales a la interfaz de STS para adquirir los tokens. La credencial principal depende del tipo de usuario.
Tipo de usuario | Credenciales primarias |
---|---|
Usuario de solución | Certificado válido. |
Otros usuarios | Nombre de usuario y contraseña disponibles en un origen de identidad de vCenter Single Sign-On. |
El STS autentica al usuario en función de las credenciales principales y crea un token SAML que contiene los atributos del usuario.
De forma predeterminada, VMware Certificate Authority (VMCA) genera el certificado de firma de STS. Puede actualizar el certificado de firma de STS con un nuevo certificado de VMCA. También puede importar y reemplazar el certificado de firma de STS predeterminado por un certificado de firma de STS personalizado o generado por terceros. No reemplace el certificado de firma STS a menos que la directiva de seguridad de la empresa exija que se reemplacen todos los certificados.
Puede utilizar el vSphere Client para:
- Actualizar certificados de STS
- Importar y reemplazar certificados STS personalizados y generados por terceros
- Ver detalles del certificado STS, como la fecha de caducidad
También puede utilizar la línea de comandos para reemplazar certificados STS personalizados y generados por terceros.
Duración y caducidad del certificado STS
Una instalación nueva de vSphere 7.0 Update 1 y posterior crea un certificado de firma de STS con una duración de 10 años. Cuando un certificado de firma de STS está a punto de caducar, una alarma le advierte empezando a los 90 días una vez por semana y, a continuación, a diario cuando quedan siete días.
Renovación automática del certificado STS
En vSphere 8.0 y versiones posteriores, vCenter Single Sign-On renueva automáticamente un certificado de firma del servicio de token de seguridad (STS, Security Token Service) generado por VMCA. La renovación automática se produce antes de que caduque el certificado de firma de STS y antes de activar la alarma de caducidad de 90 días. Si se produce un error en la renovación automática, vCenter Single Sign-On crea un mensaje de error en el archivo de registro. Si es necesario, puede actualizar el certificado de firma de STS manualmente.
Actualizar y reemplazar certificados STS
En vSphere 8.0 y otras versiones posteriores, la actualización o la importación y el reemplazo de los certificados de firma de STS no requieren que se reinicie vCenter Server y, por lo tanto, evitan el tiempo de inactividad. Además, en una configuración vinculada, al actualizar o importar y reemplazar los certificados de firma de STS en un solo vCenter Server, se actualizan los certificados de STS en todos los sistemas vCenter Server vinculados.
Actualizar un certificado vCenter Server STS mediante el vSphere Client
Puede actualizar los certificados de firma de STS vCenter Server mediante el vSphere Client. El VMware Certificate Authority (VMCA) emite un nuevo certificado y reemplaza el certificado actual.
Al actualizar los certificados de firma de STS, el VMware Certificate Authority (VMCA) emite un nuevo certificado y reemplaza el certificado actual en VMware Directory Service (vmdir). STS comienza a utilizar el nuevo certificado para emitir nuevos tokens. En una configuración de Enhanced Linked Mode, vmdir carga el nuevo certificado del sistema vCenter Server emisor a todos los sistemas vCenter Server vinculados. Al actualizar los certificados de firma de STS, debe reiniciar el sistema vCenter Server y cualquier otro sistema vCenter Server que forme parte de una configuración de Enhanced Linked Mode.
Si utiliza un certificado de firma de STS de terceros o generado personalizado, la actualización sobrescribe ese certificado con un certificado emitido por VMCA. Para actualizar certificados de firma de STS de terceros o generados de forma personalizada, utilice la opción importar y reemplazar. Consulte Importar y reemplazar un certificado vCenter Server STS mediante el vSphere Client.
El certificado de firma de STS emitido por VMCA es válido durante diez años y no es un certificado externo. No reemplace este certificado a menos que la directiva de seguridad de su empresa lo requiera.
Requisitos previos
Para la administración de certificados, debe proporcionar la contraseña del administrador del dominio local ([email protected] de forma predeterminada). Si está renovando certificados, también puede proporcionar las credenciales de vCenter Single Sign-On para un usuario con privilegios de administrador en el sistema vCenter Server.
Procedimiento
Importar y reemplazar un certificado vCenter Server STS mediante el vSphere Client
Puede importar y reemplazar el certificado vCenter Server STS por un certificado generado de forma personalizada o de terceros mediante el vSphere Client.
Para importar y reemplazar el certificado de firma de STS predeterminado, primero debe generar un nuevo certificado. Al importar y reemplazar certificados de firma de STS, el VMware Directory Service (vmdir) carga el nuevo certificado del sistema vCenter Server emisor en todos los sistemas vCenter Server vinculados.
El certificado STS no es un certificado externo. No reemplace este certificado a menos que la directiva de seguridad de su empresa lo requiera.
Requisitos previos
Para la administración de certificados, debe proporcionar la contraseña del administrador del dominio local ([email protected] de forma predeterminada). También debe proporcionar las credenciales de vCenter Single Sign-On para un usuario con privilegios de administrador en el sistema vCenter Server.
Procedimiento
Reemplazar un certificado vCenter Server STS mediante la línea de comandos
Puede reemplazar el certificado vCenter Server STS por un certificado de terceros o generado de forma personalizada mediante la CLI.
Para utilizar un certificado obligatorio de la empresa o para actualizar un certificado que está a punto de caducar, puede reemplazar el certificado de firma de STS existente. Para importar el certificado de firma de STS predeterminado, primero debe generar un nuevo certificado.
El certificado STS no es un certificado externo. No reemplace este certificado a menos que la directiva de seguridad de su empresa lo requiera.
Requisitos previos
Habilitar inicio de sesión en SSH en vCenter Server. Consulte Administrar vCenter Server mediante el shell de vCenter Server.
Procedimiento
Ver la cadena de certificados de firma de STS vCenter Server activos mediante el vSphere Client
Puede utilizar vSphere Client para ver la cadena de certificados de firma de STS de la instancia de vCenter Server activa y la información de certificación, como la fecha de validez.
Procedimiento
Determinar la fecha de caducidad de un certificado SSL de LDAPS mediante la línea de comandos
Cuando se utiliza Active Directory en LDAP, puede cargar un certificado SSL para el tráfico LDAP. Los certificados SSL caducan después de un tiempo predefinido. Puede utilizar el comando sso-config.sh para ver la fecha de caducidad del certificado para que sepa cuándo reemplazar o renovar el certificado antes de que caduque.
vCenter Server le avisa cuando un certificado SSL de LDAP activo está próximo a su fecha de caducidad.
Solo puede ver la información de caducidad del certificado si utiliza un origen de identidad de OpenLDAP o Active Directory en LDAP, y si especifica una dirección URL ldaps:// para el servidor.
Requisitos previos
Habilitar inicio de sesión en SSH en vCenter Server. Consulte Administrar vCenter Server mediante el shell de vCenter Server.