Générer un nouveau certificat de signature STS sur le dispositif

Étant donné que le certificat de signature de service de jeton de sécurité (STS) de vCenter Single Sign-On est un certificat VMware interne, ne le remplacez pas à moins que votre entreprise ordonne le remplacement des certificats internes. Pour remplacer le certificat de signature STS par défaut, vous devez générer un nouveau certificat et l'ajouter au keystore Java. Cette procédure concerne le déploiement d'un dispositif intégré ou d'un dispositif Platform Services Controller externe.

Note : Ce certificat est valable dix ans et n'est pas un certificat externe. Ne remplacez pas ce certificat à moins que la stratégie de sécurité de votre entreprise ne l'exige.

Reportez-vous à la section Générer un nouveau certificat de signature STS dans une installation vCenter Windows si vous exécutez une installation Windows de Platform Services Controller.

Procédure

Créez un répertoire de niveau supérieur pour contenir le nouveau certificat et vérifiez l'emplacement du répertoire.
```
mkdir newsts
cd newsts
pwd 
#resulting output: /root/newst
```

Copiez le fichier certool.cfg dans un nouveau répertoire.

cp /usr/lib/vmware-vmca/share/config/certool.cfg /root/newsts

Ouvrez votre copie du fichier certool.cfg et modifiez-la afin d'utiliser l'adresse IP locale et le nom d'hôte de Platform Services Controller.

Le pays doit être indiqué, à l'aide de deux caractères, comme le montre l'exemple suivant.

#
# Template file for a CSR request
#

# Country is needed and has to be 2 characters
Country = US
Name = STS
Organization = ExampleInc
OrgUnit = ExampleInc Dev
State = Indiana
Locality = Indianapolis
IPAddress = 10.0.1.32
Email = [email protected]
Hostname = homecenter.exampleinc.local

Générez la clé.

/usr/lib/vmware-vmca/bin/certool --server localhost --genkey --privkey=/root/newsts/sts.key --pubkey=/root/newsts/sts.pub

Générez le certificat.

/usr/lib/vmware-vmca/bin/certool --gencert --cert=/root/newsts/newsts.cer --privkey=/root/newsts/sts.key --config=/root/newsts/certool.cfg

Convertissez le certificat au format PK12.

openssl pkcs12 -export -in /root/newsts/newsts.cer -inkey /root/newsts/sts.key -certfile /var/lib/vmware/vmca/root.cer -name "newstssigning" -passout pass:testpassword -out newsts.p12

Ajoutez le certificat au magasin de clés Java (JKS).

/usr/java/jre-vmware/bin/keytool -v -importkeystore -srckeystore newsts.p12 -srcstoretype pkcs12 -srcstorepass testpassword -srcalias newstssigning -destkeystore root-trust.jks -deststoretype JKS -deststorepass testpassword -destkeypass testpassword

/usr/java/jre-vmware/bin/keytool -v -importcert -keystore root-trust.jks -deststoretype JKS -storepass testpassword -keypass testpassword -file /var/lib/vmware/vmca/root.cer -alias root-ca

Utilisez keytool -help pour obtenir la liste de toutes les commandes disponibles.

Lorsque vous y êtes invité, entrez Yes pour accepter le placement du certificat dans le keystore.

Que faire ensuite

Vous pouvez à présent importer le nouveau certificat. Reportez-vous à la section Actualiser le certificat STS.