Étant donné que le certificat de signature de service de jeton de sécurité (STS) de vCenter Single Sign-On est un certificat VMware interne, ne le remplacez pas à moins que votre entreprise ordonne le remplacement des certificats internes. Pour remplacer le certificat de signature STS par défaut, vous devez d'abord générer un nouveau certificat et l'ajouter au keystore Java. Cette procédure explique les étapes dans une installation Windows.

Note : Ce certificat est valable dix ans et n'est pas un certificat externe. Ne remplacez pas ce certificat à moins que la stratégie de sécurité de votre entreprise ne l'exige.

Si vous utilisez un dispositif virtuel, consultez Générer un nouveau certificat de signature STS sur le dispositif.

Procédure

  1. Créez un répertoire pour recevoir le nouveau certificat. 
    cd C:\ProgramData\VMware\vCenterServer\cfg\sso\keys\
mkdir newsts
cd newsts
  2. Copiez le fichier certool.cfg et placez-le dans ce nouveau répertoire. 
    copy "C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg" .
  3. Ouvrez votre copie du fichier certool.cfg et modifiez-la afin d'utiliser l'adresse IP locale et le nom d'hôte de Platform Services Controller.
    La saisie d'un pays est obligatoire. Le nom de ce pays doit comporter deux caractères. Inspirez-vous de l'exemple suivant. 
    #
# Template file for a CSR request
#

# Country is needed and has to be 2 characters
Country = US
Name = STS
Organization = ExampleInc
OrgUnit = ExampleInc Dev
State = Indiana
Locality = Indianapolis
IPAddress = 10.0.1.32
Email = [email protected]
Hostname = homecenter.exampleinc.local
  4. Générez la clé. 
    "C:\Program Files\VMware\vCenter Server\vmcad\certool.exe" --server localhost --genkey --privkey=sts.key --pubkey=sts.pub
  5. Générez le certificat. 
    "C:\Program Files\VMware\vCenter Server\vmcad\certool.exe" --gencert --cert=newsts.cer --privkey=sts.key --config=certool.cfg
  6. Convertissez le certificat au format PK12. 
    "C:\Program Files\VMware\vCenter Server\openSSL\openssl.exe" pkcs12 -export -in newsts.cer -inkey sts.key -certfile C:\ProgramData\VMware\vCenterServer\data\vmca\root.cer -name "newstssigning" -passout pass:changeme -out newsts.p12
  7. Ajoutez le certificat au magasin de clés Java (JKS). 
    "C:\Program Files\VMware\vCenter Server\jre\bin\keytool.exe" -v -importkeystore -srckeystore newsts.p12 -srcstoretype pkcs12 -srcstorepass changeme -srcalias newstssigning -destkeystore root-trust.jks -deststoretype JKS -deststorepass testpassword -destkeypass testpassword
"C:\Program Files\VMware\vCenter Server\jre\bin\keytool.exe" -v -importcert -keystore root-trust.jks -deststoretype JKS -storepass testpassword -keypass testpassword -file C:\ProgramData\VMware\vCenterServer\data\vmca\root.cer -alias root-ca

Que faire ensuite

Vous pouvez à présent importer le nouveau certificat. Reportez-vous à la section Actualiser le certificat STS.