Le service d'émission de jeton de sécurité (STS) de vCenter Server est un service Web qui émet, valide et renouvelle les jetons de sécurité.
En tant qu'émetteur de jeton, STS utilise une clé privée pour signer les jetons et publie les certificats publics pour que les services vérifient la signature du jeton. vCenter Server gère les certificats de signature STS et les stocke dans VMware Directory Service (vmdir). Les jetons peuvent avoir une durée de vie significative et être signés de manière historique par n'importe quelle clé.
STS authentifie l'utilisateur en fonction des informations d'identification principales et crée un jeton SAML contenant les attributs de l'utilisateur.
Par défaut, VMware Certificate Authority (VMCA) génère le certificat de signature STS. Vous pouvez actualiser le certificat de signature STS avec un nouveau certificat VMCA. Vous pouvez également importer et remplacer le certificat de signature STS par défaut par un certificat de signature STS généré personnalisé ou tiers. Ne remplacez pas le certificat de signature STS, sauf si la stratégie de sécurité de votre entreprise nécessite le remplacement de tous les certificats.
Vous pouvez utiliser vSphere Client pour :
- Actualiser les certificats STS
- Importer et remplacer des certificats STS personnalisés et générés par des tiers
- Afficher les détails du certificat STS, tels que la date d’expiration
Vous pouvez également utiliser la ligne de commande pour remplacer des certificats STS personnalisés et tiers.
Durée et expiration du certificat STS
Une nouvelle installation de vSphere 7.0 Update 1 et versions ultérieures crée un certificat de signature STS d'une durée de 10 ans. Lorsqu'un certificat de signature STS arrive à expiration, une alarme vous avertit à partir de 90 jours avant l'expiration, une fois par semaine, puis quotidiennement à partir de 7 jours avant l'expiration.