Vous pouvez remplacer le certificat STS vCenter Server par un certificat généré personnalisé ou tiers à l'aide de l'interface de ligne de commande.

Pour utiliser un certificat requis par une société ou pour actualiser un certificat proche de l'expiration, vous pouvez remplacer le certificat de signature STS existant. Pour remplacer le certificat de signature STS par défaut, vous devez d'abord générer un nouveau certificat.

Le certificat STS n'est pas un certificat externe. Ne remplacez pas ce certificat, sauf si la stratégie de sécurité de votre entreprise l'exige.

Attention : Vous devez utiliser les procédures décrites ici. Ne remplacez pas le certificat directement dans le système de fichiers.

Conditions préalables

Activez la connexion SSH à vCenter Server. Reportez-vous à la section Gérer vCenter Server à partir du shell vCenter Server.

Procédure

  1. Connectez-vous au shell vCenter Server en tant qu'utilisateur racine.
  2. Créez un certificat.
    1. Créez un répertoire de niveau supérieur pour contenir le nouveau certificat et vérifiez l'emplacement du répertoire.
      mkdir newsts
      cd newsts
      pwd 
      #resulting output: /root/newsts
    2. Copiez le fichier certool.cfg dans un nouveau répertoire.
      cp /usr/lib/vmware-vmca/share/config/certool.cfg /root/newsts
      
    3. À l'aide d'un éditeur de ligne de commande tel que VIM, ouvrez votre copie du fichier certool.cfg et modifiez-la afin d'utiliser l'adresse IP locale et le nom d'hôte de l'instance de vCenter Server. Le pays doit être indiqué, à l'aide de deux caractères, comme le montre l'exemple suivant.
      #
      # Template file for a CSR request
      #
      
      # Country is needed and has to be 2 characters
      Country = US
      Name = STS
      Organization = ExampleInc
      OrgUnit = ExampleInc Dev
      State = Indiana
      Locality = Indianapolis
      IPAddress = 10.0.1.32
      Email = [email protected]
      Hostname = homecenter.exampleinc.local
    4. Générez la clé.
      /usr/lib/vmware-vmca/bin/certool --server localhost --genkey --privkey=/root/newsts/sts.key --pubkey=/root/newsts/sts.pub
      
    5. Générez le certificat.
      /usr/lib/vmware-vmca/bin/certool --gencert --cert=/root/newsts/newsts.cer --privkey=/root/newsts/sts.key --config=/root/newsts/certool.cfg
      
    6. Créez un fichier PEM avec la chaîne de certificats et la clé privée.
      cat newsts.cer /var/lib/vmware/vmca/root.cer sts.key > newsts.pem
  3. Mettez à jour le certificat de signature STS, par exemple :
    /opt/vmware/bin/sso-config.sh -set_signing_cert -t vsphere.local /root/newsts/newsts.pem
  4. Redémarrez le système vCenter Server et tout autre système vCenter Server faisant partie d'une configuration Enhanced Linked Mode. Consultez la rubrique sur le redémarrage de vCenter Server dans la documentation Configuration de vCenter Server.
    Pour que l'authentification fonctionne correctement, vous devez redémarrer le système vCenter Server. Le service STS et vSphere Client redémarrent.