Le service d'émission de jeton de sécurité (STS) de vCenter Server est un service Web qui émet, valide et renouvelle les jetons de sécurité.

En tant qu'émetteur de jeton, STS utilise une clé privée pour signer les jetons et publie les certificats publics pour que les services vérifient la signature du jeton. vCenter Server gère les certificats de signature STS et les stocke dans VMware Directory Service (vmdir). Les jetons peuvent avoir une durée de vie significative et être signés de manière historique par n'importe quelle clé.

Les utilisateurs présentent leurs informations d'identification principales à l'interface STS pour acquérir des jetons. Les informations d'identification principales dépendent du type d'utilisateur.

Tableau 1. Utilisateurs STS et informations d'identification
Type d'utilisateur Informations d'identification principales
Utilisateur de solution Certificat valide.
Autres utilisateurs Nom d'utilisateur et mot de passe disponibles dans une source d'identité vCenter Single Sign-On.

STS authentifie l'utilisateur en fonction des informations d'identification principales et crée un jeton SAML contenant les attributs de l'utilisateur.

Par défaut, VMware Certificate Authority (VMCA) génère le certificat de signature STS. Vous pouvez actualiser le certificat de signature STS avec un nouveau certificat VMCA. Vous pouvez également importer et remplacer le certificat de signature STS par défaut par un certificat de signature STS généré personnalisé ou tiers. Ne remplacez pas le certificat de signature STS, sauf si la stratégie de sécurité de votre entreprise nécessite le remplacement de tous les certificats.

Vous pouvez utiliser vSphere Client pour :

  • Actualiser les certificats STS
  • Importer et remplacer des certificats STS personnalisés et générés par des tiers
  • Afficher les détails du certificat STS, tels que la date d’expiration

Vous pouvez également utiliser la ligne de commande pour remplacer des certificats STS personnalisés et tiers.

Durée et expiration du certificat STS

Une nouvelle installation de vSphere 7.0 Update 1 et versions ultérieures crée un certificat de signature STS d'une durée de 10 ans. Lorsqu'un certificat de signature STS arrive à expiration, une alarme vous avertit à partir de 90 jours avant l'expiration, une fois par semaine, puis quotidiennement à partir de 7 jours avant l'expiration.

Note : Dans certaines circonstances, le remplacement de vos certificats de signature STS peut modifier la durée des certificats. Lors du remplacement des certificats, soyez attentif aux dates d'émission et d'expiration.

Renouvellement automatique de certificat STS

À partir de vSphere 8.0, vCenter Single Sign-On renouvelle automatiquement un certificat de signature STS généré par VMCA. Le renouvellement automatique se produit avant l'expiration du certificat de signature STS et avant le déclenchement de l'alarme d'expiration de 90 jours. Si le renouvellement automatique échoue, vCenter Single Sign-On crée un message d'erreur dans le fichier journal. Si nécessaire, vous pouvez actualiser manuellement le certificat de signature STS.

Note : vCenter Single Sign-On n'effectue pas de renouvellement automatique des certificats de signature STS personnalisés ou tiers.

Actualisation ou importation et remplacement des certificats STS

À partir de la version 8.0, l'actualisation ou l'importation et le remplacement des certificats de signature STS ne nécessitent pas le redémarrage de vCenter Server, évitant ainsi toute interruption de service. En outre, dans une configuration liée, l'actualisation ou l'importation et le remplacement des certificats de signature STS sur un seul vCenter Server met à jour les certificats STS sur tous les systèmes vCenter Server liés.

Note : Dans certaines circonstances, une actualisation ou une importation et un remplacement de certificats de signature STS peuvent nécessiter le redémarrage manuel des systèmes vCenter Server.

Actualiser un certificat STS vCenter Server à l'aide de vSphere Client

Vous pouvez actualiser vos certificats de signature STS vCenter Server à l'aide de vSphere Client. Le VMware Certificate Authority (VMCA) émet un nouveau certificat et remplace le certificat actuel.

Lorsque vous actualisez les certificats de signature STS, VMware Certificate Authority (VMCA) émet un nouveau certificat et remplace le certificat actuel dans VMware Directory Service (vmdir). STS commence à utiliser le nouveau certificat pour émettre de nouveaux jetons. Dans une configuration Enhanced Linked Mode, vmdir charge le nouveau certificat du système vCenter Server émetteur vers tous les systèmes vCenter Server liés. Lorsque vous actualisez les certificats de signature STS, vous n'avez pas besoin de redémarrer le système vCenter Server ni tout autre système vCenter Server faisant partie d'une configuration Enhanced Linked Mode.

Si vous utilisez un certificat de signature STS généré personnalisé ou tiers, l'actualisation remplace ce certificat par un certificat émis par VMCA. Pour mettre à jour des certificats de signature STS générés personnalisés ou tiers, utilisez l'option Importer et remplacer. Reportez-vous à la section Importer et remplacer un certificat STS de vCenter Server à l'aide de vSphere Client.

Le certificat de signature STS émis par VMCA est valable 10 ans et n'est pas un certificat externe. Ne remplacez pas ce certificat, sauf si la stratégie de sécurité de votre entreprise l'exige.

Conditions préalables

Pour la gestion des certificats, vous devez fournir le mot de passe de l'administrateur du domaine local (administrator@vsphere.local par défaut). Si vous renouvelez des certificats, il vous faut également fournir les informations d'identification de vCenter Single Sign-On pour un utilisateur possédant des privilèges d'administration sur le système vCenter Server.

Procédure

  1. Connectez-vous avec vSphere Client à l'instance de vCenter Server.
  2. Spécifiez le nom d'utilisateur et le mot de passe pour administrator@vsphere.local ou un autre membre du groupe d'administrateurs de vCenter Single Sign-On.
    Si vous avez spécifié un autre domaine lors de l'installation, connectez-vous en tant qu'administrator@ mydomain.
  3. Accédez à l'interface utilisateur de gestion de certificat.
    1. Dans le menu Accueil, sélectionnez Administration.
    2. Sous Certificats, cliquez sur Gestion des certificats.
  4. Si le système vous y invite, entrez les informations d'identification de votre instance de vCenter Server.
  5. Sous Certificat de signature STS, cliquez sur Actions > Actualiser avec le certificat vCenter.
    Si vous utilisez un certificat de signature STS généré personnalisé ou tiers, l'action d'actualisation remplace ce certificat par un certificat généré par VMCA.
    Note : Si vous utilisiez des certificats tiers pour des raisons de conformité, l'actualisation risque de rendre vos systèmes vCenter Server non conformes. En outre, si vous utilisez un certificat de signature STS généré personnalisé ou tiers, le service de jetons de sécurité n'utilise plus ce certificat personnalisé ou tiers pour la signature de jeton.
  6. Cliquez sur Actualiser.
    VMCA actualise le certificat de signature STS sur ce système vCenter Server et sur tous les systèmes vCenter Server liés.
  7. (Facultatif) Si le bouton Forcer l'actualisation s'affiche, vCenter Single Sign-On a détecté un problème. Avant de cliquer sur Forcer l'actualisation, tenez compte des résultats potentiels suivants.
    • Si tous les systèmes vCenter Server affectés n'exécutent pas au moins vSphere 7.0 Update 3, ils ne prennent pas en charge l'actualisation des certificats.
    • Si vous sélectionnez Forcer l'actualisation, vous devez redémarrer tous les systèmes vCenter Server. Ces systèmes peuvent devenir non opérationnels tant que vous ne le faites pas.
    1. Si vous n'êtes pas sûr de l'impact, cliquez sur Annuler et effectuez des recherches sur votre environnement.
    2. Si vous êtes sûr de l'impact, cliquez sur Forcer l'actualisation pour procéder à l'actualisation, puis redémarrez manuellement vos systèmes vCenter Server.

Importer et remplacer un certificat STS de vCenter Server à l'aide de vSphere Client

Vous pouvez importer et remplacer le certificat STS de vCenter Server par un certificat généré personnalisé ou tiers à l'aide de vSphere Client.

Pour importer et remplacer le certificat de signature STS par défaut, vous devez d'abord générer un nouveau certificat. Lorsque vous importez et remplacez des certificats de signature STS, VMware Directory Service (vmdir) charge le nouveau certificat à partir du système vCenter Server émetteur vers tous les systèmes vCenter Server liés.

Le certificat STS n'est pas un certificat externe. Ne remplacez pas ce certificat, sauf si la stratégie de sécurité de votre entreprise l'exige.

Conditions préalables

Pour la gestion des certificats, vous devez fournir le mot de passe de l'administrateur du domaine local (administrator@vsphere.local par défaut). Vous devez également fournir les informations d'identification de vCenter Single Sign-On pour un utilisateur disposant des privilèges d'administrateur sur le système vCenter Server.

Procédure

  1. Connectez-vous avec vSphere Client à l'instance de vCenter Server.
  2. Spécifiez le nom d'utilisateur et le mot de passe pour administrator@vsphere.local ou un autre membre du groupe d'administrateurs de vCenter Single Sign-On.
    Si vous avez spécifié un autre domaine lors de l'installation, connectez-vous en tant qu'administrator@ mydomain.
  3. Accédez à l'interface utilisateur de gestion de certificat.
    1. Dans le menu Accueil, sélectionnez Administration.
    2. Sous Certificats, cliquez sur Gestion des certificats.
  4. Si le système vous y invite, entrez les informations d'identification de votre instance de vCenter Server.
  5. Sous Certificat de signature STS, cliquez sur Actions > Importer et remplacer.
  6. Sélectionnez le fichier PEM.
    Le fichier PEM inclut la chaîne de certificat de signature et la clé privée.
  7. Cliquez sur Remplacer.
    Le certificat de signature STS est remplacé sur ce système vCenter Server et sur tous les systèmes vCenter Server liés. Sauf indication contraire, vous n'avez pas besoin de redémarrer les systèmes vCenter Server.

Remplacer un certificat STS vCenter Server à l'aide de la ligne de commande

Vous pouvez remplacer le certificat STS vCenter Server par un certificat généré personnalisé ou tiers à l'aide de l'interface de ligne de commande.

Pour utiliser un certificat requis par une société ou pour actualiser un certificat proche de l'expiration, vous pouvez remplacer le certificat de signature STS existant. Pour remplacer le certificat de signature STS par défaut, vous devez d'abord générer un nouveau certificat.

Le certificat STS n'est pas un certificat externe. Ne remplacez pas ce certificat, sauf si la stratégie de sécurité de votre entreprise l'exige.

Attention : Vous devez utiliser les procédures décrites ici. Ne remplacez pas le certificat directement dans le système de fichiers.

Conditions préalables

Activez la connexion SSH à vCenter Server. Reportez-vous à la section Gérer vCenter Server à l'aide du shell de vCenter Server.

Procédure

  1. Connectez-vous au shell vCenter Server en tant qu'utilisateur racine.
  2. Créez un certificat.
    1. Créez un répertoire de niveau supérieur pour contenir le nouveau certificat et vérifiez l'emplacement du répertoire.
      mkdir newsts
      cd newsts
      pwd 
      #resulting output: /root/newsts
    2. Copiez le fichier certool.cfg dans un nouveau répertoire.
      cp /usr/lib/vmware-vmca/share/config/certool.cfg /root/newsts
      
    3. À l'aide d'un éditeur de ligne de commande tel que VIM, ouvrez votre copie du fichier certool.cfg et modifiez-la afin d'utiliser l'adresse IP locale et le nom d'hôte de l'instance de vCenter Server. Le pays doit être indiqué, à l'aide de deux caractères, comme le montre l'exemple suivant.
      #
      # Template file for a CSR request
      #
      
      # Country is needed and has to be 2 characters
      Country = US
      Name = STS
      Organization = ExampleInc
      OrgUnit = ExampleInc Dev
      State = Indiana
      Locality = Indianapolis
      IPAddress = 10.0.1.32
      Email = chen@exampleinc.com
      Hostname = homecenter.exampleinc.local
    4. Générez la clé.
      /usr/lib/vmware-vmca/bin/certool --server localhost --genkey --privkey=/root/newsts/sts.key --pubkey=/root/newsts/sts.pub
      
    5. Générez le certificat.
      /usr/lib/vmware-vmca/bin/certool --gencert --cert=/root/newsts/newsts.cer --privkey=/root/newsts/sts.key --config=/root/newsts/certool.cfg
      
    6. Créez un fichier PEM avec la chaîne de certificats et la clé privée.
      cat newsts.cer /var/lib/vmware/vmca/root.cer sts.key > newsts.pem
  3. Mettez à jour le certificat de signature STS, par exemple :
    /opt/vmware/bin/sso-config.sh -set_signing_cert -t vsphere.local /root/newsts/newsts.pem
    VMCA actualise le certificat de signature STS sur ce système vCenter Server et sur tous les systèmes vCenter Server liés.

Afficher la chaîne de certificats de signature STS vCenter Server active à l'aide de vSphere Client

Vous pouvez utiliser vSphere Client pour afficher la chaîne de certificats de signature STS vCenter Server active.

Vous pouvez afficher les informations suivantes sur le certificat STS actif.

  • Date « Valide jusqu'au »
  • Une coche verte pour un certificat valide et une coche d'avertissement orange pour un certificat ayant expiré
  • Un lien Afficher les détails pour afficher la chaîne de certificats active

Procédure

  1. Connectez-vous avec vSphere Client à l'instance de vCenter Server.
  2. Entrez le nom d'utilisateur et le mot de passe d'un utilisateur ayant au minimum des privilèges de lecture.
  3. Accédez à l'interface utilisateur de gestion de certificat.
    1. Dans le menu Accueil, sélectionnez Administration.
    2. Sous Certificats, cliquez sur Gestion des certificats.
  4. Si le système vous y invite, entrez les informations d'identification de votre instance de vCenter Server.
  5. Pour afficher les détails du certificat STS actif, cliquez sur Afficher les détails.

Déterminer la date d'expiration d'un certificat SSL LDAPS à l'aide de la ligne de commande

Lors de l'utilisation d'Active Directory sur LDAPS, vous pouvez télécharger un certificat SSL pour le trafic LDAP. Les certificats SSL expirent après une durée de vie prédéfinie. Vous pouvez utiliser la commande sso-config.sh pour afficher la date d'expiration du certificat pour savoir s'il convient de remplacer ou de renouveler le certificat avant son expiration.

vCenter Server vous alerte lorsqu'un certificat SSL LDAP actif est proche de sa date d'expiration.

Les informations d'expiration des certificats s'affichent uniquement si vous utilisez Active Directory sur LDAP ou une source d'identité OpenLDAP et que vous spécifiez une URL ldaps:// pour le serveur.

Conditions préalables

Activez la connexion SSH à vCenter Server. Reportez-vous à la section Gérer vCenter Server à l'aide du shell de vCenter Server.

Procédure

  1. Connectez-vous à l'instance de vCenter Server en tant qu'utilisateur racine.
  2. Exécutez la commande suivante.
    /opt/vmware/bin/sso-config.sh -get_identity_sources

    Ignorez les messages SLF4J.

  3. Pour déterminer la date d'expiration, affichez les détails du certificat SSL et vérifiez le champ NotAfter.