Si vous souhaitez remplacer le certificat de signature de service de jeton de sécurité (STS) de vCenter Single Sign-On, vous devez générer un nouveau certificat et l'ajouter au magasin de clés Java. Cette procédure concerne le déploiement d'un dispositif intégré ou d'un dispositif Platform Services Controller externe.

Pourquoi et quand exécuter cette tâche

Remarque :

Ce certificat est valable dix ans et n'est pas un certificat externe. Ne remplacez pas ce certificat à moins que la stratégie de sécurité de votre entreprise ne l'exige.

Reportez-vous à la section Générer un nouveau certificat de signature STS dans une installation vCenter Windows si vous exécutez une installation Windows de Platform Services Controller.

Procédure

  1. Créez un répertoire de niveau supérieur pour contenir le nouveau certificat et vérifiez l'emplacement du répertoire.
    mkdir newsts
    cd newsts
    pwd 
    #resulting output: /root/newst
  2. Copiez le fichier certool.cfg dans un nouveau répertoire.
    cp /usr/lib/vmware-vmca/share/config/certool.cfg /root/newsts
    
  3. Ouvrez votre copie du fichier certool.cfg et modifiez-la afin d'utiliser l'adresse IP locale et le nom d'hôte de Platform Services Controller.

    Le pays doit être indiqué, à l'aide de deux caractères, comme le montre l'exemple suivant.

    #
    # Template file for a CSR request
    #
    
    # Country is needed and has to be 2 characters
    Country = US
    Name = STS
    Organization = ExampleInc
    OrgUnit = ExampleInc Dev
    State = Indiana
    Locality = Indianapolis
    IPAddress = 10.0.1.32
    Email = chen@exampleinc.com
    Hostname = homecenter.exampleinc.local
  4. Générez la clé.
    /usr/lib/vmware-vmca/bin/certool --server localhost --genkey --privkey=/root/newsts/sts.key --pubkey=/root/newsts/sts.pub
  5. Générez le certificat.
    /usr/lib/vmware-vmca/bin/certool --gencert --cert=/root/newsts/newsts.cer --privkey=/root/newsts/sts.key --config=/root/newsts/certool.cfg
    
  6. Convertissez le certificat au format PK12.
    openssl pkcs12 -export -in /root/newsts/newsts.cer -inkey /root/newsts/sts.key -certfile /etc/vmware-sso/keys/ssoserverRoot.crt -name "newstssigning" -passout pass:changeme -out newsts.p12
  7. Ajoutez le certificat au magasin de clés Java (JKS).
    /usr/java/jre-vmware/bin/keytool -v -importkeystore -srckeystore newsts.p12 -srcstoretype pkcs12 -srcstorepass changeme -srcalias newstssigning -destkeystore root-trust.jks -deststoretype JKS -deststorepass testpassword -destkeypass testpassword
    
    /usr/java/jre-vmware/bin/keytool -v -importcert -keystore root-trust.jks -deststoretype JKS -storepass testpassword -keypass testpassword -file /etc/vmware-sso/keys/ssoserverRoot.crt -alias root-ca
    
  8. Lorsque vous y êtes invité, entrez Yes pour accepter le placement du certificat dans le keystore.

Que faire ensuite

Vous pouvez à présent importer le nouveau certificat. Reportez-vous à Actualiser le certificat STS.