Vous pouvez actualiser vos certificats de signature STS vCenter Server à l'aide de vSphere Client. Le VMware Certificate Authority (VMCA) émet un nouveau certificat et remplace le certificat actuel.

Lorsque vous actualisez les certificats de signature STS, VMware Certificate Authority (VMCA) émet un nouveau certificat et remplace le certificat actuel dans VMware Directory Service (vmdir). STS commence à utiliser le nouveau certificat pour émettre de nouveaux jetons. Dans une configuration Enhanced Linked Mode, vmdir charge le nouveau certificat du système vCenter Server émetteur vers tous les systèmes vCenter Server liés. Lorsque vous actualisez les certificats de signature STS, vous devez redémarrer le système vCenter Server et tout autre système vCenter Server faisant partie d'une configuration Enhanced Linked Mode.

Si vous utilisez un certificat de signature STS généré personnalisé ou tiers, l'actualisation remplace ce certificat par un certificat émis par VMCA. Pour mettre à jour des certificats de signature STS générés personnalisés ou tiers, utilisez l'option Importer et remplacer. Reportez-vous à la section Importer et remplacer un certificat STS de vCenter Server à l'aide de vSphere Client.

Le certificat de signature STS émis par VMCA est valable 10 ans et n'est pas un certificat externe. Ne remplacez pas ce certificat, sauf si la stratégie de sécurité de votre entreprise l'exige.

Conditions préalables

Pour la gestion des certificats, vous devez fournir le mot de passe de l'administrateur du domaine local (administrator@vsphere.local par défaut). Si vous renouvelez des certificats, il vous faut également fournir les informations d'identification de vCenter Single Sign-On pour un utilisateur possédant des privilèges d'administration sur le système vCenter Server.

Procédure

  1. Connectez-vous avec vSphere Client à l'instance de vCenter Server.
  2. Spécifiez le nom d'utilisateur et le mot de passe pour administrator@vsphere.local ou un autre membre du groupe d'administrateurs de vCenter Single Sign-On.
    Si vous avez spécifié un autre domaine lors de l'installation, connectez-vous en tant qu'administrator@ mydomain.
  3. Accédez à l'interface utilisateur de gestion de certificat.
    1. Dans le menu Accueil, sélectionnez Administration.
    2. Sous Certificats, cliquez sur Gestion des certificats.
  4. Si le système vous y invite, entrez les informations d'identification de votre instance de vCenter Server.
  5. Sous Certificat de signature STS, cliquez sur Actions > Actualiser avec le certificat vCenter.
    Si vous utilisez un certificat de signature STS généré personnalisé ou tiers, l'action d'actualisation remplace ce certificat par un certificat généré par VMCA.
    Note : Si vous utilisiez des certificats tiers pour des raisons de conformité, l'actualisation risque de rendre vos systèmes vCenter Server non conformes. En outre, si vous utilisez un certificat de signature STS généré personnalisé ou tiers, le service de jetons de sécurité n'utilise plus ce certificat personnalisé ou tiers pour la signature de jeton.
  6. Cliquez sur Actualiser.
    VMCA actualise le certificat de signature STS sur ce système vCenter Server et sur tous les systèmes vCenter Server liés.
  7. (Facultatif) Si le bouton Forcer l'actualisation s'affiche, vCenter Single Sign-On a détecté un problème. Avant de cliquer sur Forcer l'actualisation, tenez compte des résultats potentiels suivants.
    • Si tous les systèmes vCenter Server affectés n'exécutent pas au moins vSphere 7.0 Update 3, ils ne prennent pas en charge l'actualisation des certificats.
    • Si vous sélectionnez Forcer l'actualisation, vous devez redémarrer tous les systèmes vCenter Server. Ces systèmes peuvent devenir non opérationnels tant que vous ne le faites pas.
    1. Si vous n'êtes pas sûr de l'impact, cliquez sur Annuler et effectuez des recherches sur votre environnement.
    2. Si vous êtes sûr de l'impact, cliquez sur Forcer l'actualisation pour procéder à l'actualisation, puis redémarrez manuellement vos systèmes vCenter Server.

Que faire ensuite

Pour vous assurer que tous les services STS d'une configuration Enhanced Linked Mode valident les nouveaux jetons, vous devez redémarrer les systèmes vCenter Server liés. Consultez la rubrique sur le redémarrage de vCenter Server dans la documentation Configuration de vCenter Server.