Security Token Service (servizio token di sicurezza, STS) di vCenter Server è un servizio Web che genera, convalida e rinnova i token di sicurezza.

In qualità di emittente di token, STS utilizza una chiave privata per firmare i token e pubblica i certificati pubblici affinché i servizi verifichino la firma del token. vCenter Server gestisce i certificati di firma STS e li archivia in VMware Directory Service (vmdir). I token possono avere una durata estesa e, nella loro cronologia possono essere stati firmati da qualsiasi chiave multiple.

Gli utenti presentano le proprie credenziali primarie all'interfaccia STS per ottenere i token. Le credenziali primarie dipendono dal tipo di utente.

Tabella 1. Utenti e credenziali STS
Tipo di utente Credenziali primari
Utente della soluzione Certificato valido.
Altri utenti Nome utente e password disponibili in un'origine identità vCenter Single Sign-On.

STS esegue l'autenticazione dell'utente in base alle credenziali primarie e costruisce un token SAML che contiene gli attributi dell'utente.

Per impostazione predefinita, l'Autorità di certificazione VMware (VMCA) genera il certificato di firma STS. È possibile aggiornare il certificato di firma STS con un nuovo certificato VMCA. È inoltre possibile importare e sostituire il certificato di firma STS predefinito con un certificato di firma STS personalizzato o generato da terze parti. Non sostituire il certificato di firma STS a meno che i criteri di sicurezza dell'azienda non richiedano la sostituzione di tutti i certificati.

È possibile utilizzare vSphere Client per:

  • Aggiornare i certificati STS
  • Importare e sostituire i certificati STS personalizzati e generati da terze parti
  • Visualizzare i dettagli del certificato STS, come ad esempio la data di scadenza

È inoltre possibile utilizzare la riga di comando per sostituire i certificati STS personalizzati e generati da terze parti.

Durata e scadenza del certificato STS

Una nuova installazione di vSphere 7.0 Update 1 e versioni successive crea un certificato di firma STS che ha una durata di 10 anni. Quando un certificato di firma STS è prossimo alla scadenza, l'utente viene avvisato da un allarme che ha cadenza settimanale nei 90 giorni precedenti la scadenza per poi divenire quotidiano negli ultimi sette giorni.

Nota: In alcuni casi, la sostituzione dei certificati di firma STS può modificare la durata dei certificati. Quando si esegue la sostituzione del certificato, prestare attenzione alle date di emissione e scadenza.

Rinnovo automatico del certificato STS

In vSphere 8.0 e versioni successive, vCenter Single Sign-On rinnova automaticamente un certificato di firma STS generato da VMCA. Il rinnovo automatico viene eseguito prima della scadenza del certificato di firma STS e prima dell'attivazione dell'allarme relativo alla scadenza di 90 giorni. Se il rinnovo automatico non riesce, vCenter Single Sign-On crea un messaggio di errore nel file di registro. Se necessario, è possibile aggiornare manualmente il certificato di firma STS.

Nota: vCenter Single Sign-On non esegue il rinnovo automatico dei certificati di firma STS personalizzati o di terze parti.

Aggiornamento o importazione e sostituzione dei certificati STS

In vSphere 8.0 e versioni successive, l'aggiornamento o l'importazione e la sostituzione dei certificati di firma STS non richiede un riavvio di vCenter Server e non comporta quindi alcun tempo di inattività. Inoltre, in una configurazione collegata, l'aggiornamento o l'importazione e la sostituzione dei certificati di firma STS in un singolo vCenter Server comportano l'aggiornamento dei certificati STS in tutti i sistemi vCenter Server collegati.

Nota: In alcuni casi, l'aggiornamento o l'importazione e la sostituzione dei certificati di firma STS possono richiedere il riavvio manuale dei sistemi vCenter Server.

Aggiornamento di un certificato STS di vCenter Server tramite vSphere Client

È possibile aggiornare i certificati di firma STS di vCenter Server utilizzando vSphere Client. L'Autorità di certificazione VMware (VMCA) emette un nuovo certificato e sostituisce il certificato corrente.

Quando si aggiornano i certificati di firma STS, l'Autorità di certificazione VMware(VMCA) emette un nuovo certificato e sostituisce il certificato corrente in VMware Directory Service (vmdir). STS inizia a utilizzare il nuovo certificato per emettere nuovi token. In una configurazione Modalità collegata avanzata, vmdir carica il nuovo certificato dal sistema vCenter Server emittente in tutti i sistemi vCenter Server collegati. Quando si aggiornano i certificati di firma STS, non è necessario riavviare il sistema vCenter Server né altri sistemi vCenter Server che fanno parte di una configurazione Modalità collegata avanzata.

Se si utilizza un certificato di firma STS generato in modo personalizzato o da terze parti, l'aggiornamento sovrascrive tale certificato con un certificato emesso da VMCA. Per aggiornare i certificati di firma STS generati in modo personalizzato o da terze parti, utilizzare l'opzione di importazione e sostituzione. Vedere Importazione e sostituzione di un certificato STS di vCenter Server tramite vSphere Client.

Il certificato di firma STS emesso da VMCA è valido per 10 anni e non è un certificato rivolto all'esterno. Non sostituire questo certificato a meno che non sia richiesto dal criterio di sicurezza dell'azienda.

Prerequisiti

Per la gestione dei certificati, è necessario fornire la password dell'amministratore del dominio locale (per impostazione predefinita administrator@vsphere.local). Se si stanno rinnovando i certificati, è inoltre necessario fornire le credenziali vCenter Single Sign-On relative a un utente con privilegi di amministratore nel sistema vCenter Server.

Procedura

  1. Accedere con vSphere Client a vCenter Server.
  2. Specificare il nome utente e la password per administrator@vsphere.local o un altro membro del gruppo di amministratori di vCenter Single Sign-On.
    Se durante l'installazione è stato specificato un dominio diverso, accedere come administrator@ mydomain.
  3. Passare all'interfaccia utente di Gestione dei certificati.
    1. Dal menu Home, selezionare Amministrazione.
    2. In Certificati, fare clic su Gestione certificati.
  4. Se il sistema lo richiede, immettere le credenziali di vCenter Server.
  5. In Certificato di firma STS, fare clic su Azioni > Aggiorna con certificato vCenter.
    Se si utilizza un certificato di firma STS generato in modo personalizzato o da terze parti, l'azione di aggiornamento sovrascrive tale certificato con un certificato generato da VMCA.
    Nota: Se si utilizzavano certificati di terze parti per motivi di conformità, l'aggiornamento potrebbe comportare la perdita della conformità per il sistema vCenter Server. Inoltre, se si utilizza un certificato di firma STS generato in modo personalizzato o da terze parti, Security Token Service non utilizza più tale certificato personalizzato o di terze parti per la firma dei token.
  6. Fare clic su Aggiorna.
    VMCA aggiorna il certificato di firma STS in questo sistema vCenter Server e in tutti i sistemi vCenter Server collegati.
  7. (Facoltativo) La visualizzazione del pulsante Forza aggiornamento indica che vCenter Single Sign-On ha rilevato un problema. Prima di fare clic su Forza aggiornamento, considerare le seguenti possibili conseguenze.
    • Se tutti i sistemi vCenter Server interessati non eseguono almeno vSphere 7.0 Update 3, non supportano l'aggiornamento del certificato.
    • L'utilizzo di Forza aggiornamento comporta la necessità di riavviare tutti i sistemi vCenter Server, il che può renderli inutilizzabili fino al completamento di questa operazione.
    1. Se non si è sicuri delle conseguenze, fare clic su Annulla ed eseguire ricerche sul proprio ambiente.
    2. Se si è sicuri delle conseguenze, fare clic su Forza aggiornamento per procedere con l'aggiornamento, quindi riavviare manualmente i sistemi vCenter Server.

Importazione e sostituzione di un certificato STS di vCenter Server tramite vSphere Client

È possibile importare e sostituire il certificato STS di vCenter Server con un certificato personalizzato o di terze parti utilizzando vSphere Client.

Per importare e sostituire il certificato di firma STS predefinito, è necessario aver prima generato un nuovo certificato. Quando si importano e si sostituiscono certificati di firma STS, VMware Directory Service (vmdir) carica il nuovo certificato dal sistema vCenter Server emittente in tutti i sistemi vCenter Server collegati.

Il certificato STS non è un certificato rivolto all'esterno. Non sostituire questo certificato a meno che non sia richiesto dal criterio di sicurezza dell'azienda.

Prerequisiti

Per la gestione dei certificati, è necessario fornire la password dell'amministratore del dominio locale (per impostazione predefinita administrator@vsphere.local). È inoltre necessario fornire le credenziali di vCenter Single Sign-On relative a un utente con privilegi di amministratore nel sistema vCenter Server.

Procedura

  1. Accedere con vSphere Client a vCenter Server.
  2. Specificare il nome utente e la password per administrator@vsphere.local o un altro membro del gruppo di amministratori di vCenter Single Sign-On.
    Se durante l'installazione è stato specificato un dominio diverso, accedere come administrator@ mydomain.
  3. Passare all'interfaccia utente di Gestione dei certificati.
    1. Dal menu Home, selezionare Amministrazione.
    2. In Certificati, fare clic su Gestione certificati.
  4. Se il sistema lo richiede, immettere le credenziali di vCenter Server.
  5. In Certificato di firma STS, fare clic su Azioni > Importare e sostituire.
  6. Selezionare il file PEM.
    Il file PEM include la catena di certificati di firma e la chiave privata.
  7. Fare clic su Sostituisci.
    Il certificato di firma STS viene sostituito in questo sistema vCenter Server e in tutti i sistemi vCenter Server collegati. Se non indicato diversamente, non è necessario riavviare i sistemi vCenter Server.

Sostituzione di un certificato STS di vCenter Server tramite la riga di comando

È possibile sostituire il certificato STS di vCenter Server con un certificato generato in modo personalizzato o da terze parti utilizzando la CLI.

Per utilizzare un certificato aziendale richiesto o per aggiornare un certificato prossimo alla scadenza, è possibile sostituire il certificato di firma STS esistente. Per sostituire il certificato di firma STS predefinito, è necessario aver prima generato un nuovo certificato.

Il certificato STS non è un certificato rivolto all'esterno. Non sostituire questo certificato a meno che non sia richiesto dal criterio di sicurezza dell'azienda.

Attenzione: Attenersi alle procedure descritte qui di seguito. Non sostituire il certificato direttamente nel file system.

Prerequisiti

Abilitare l'accesso a SSH per vCenter Server. Vedere Gestione di vCenter Server mediante la shell di vCenter Server.

Procedura

  1. Accedere alla shell vCenter Server come root.
  2. Creare un certificato.
    1. Creare una directory di livello superiore per contenere il nuovo certificato e verificare la posizione della directory.
      mkdir newsts
      cd newsts
      pwd 
      #resulting output: /root/newsts
    2. Copiare il file certool.cfg nella nuova directory.
      cp /usr/lib/vmware-vmca/share/config/certool.cfg /root/newsts
      
    3. Utilizzando un editor della riga di comando come Vim, aprire la copia del file certool.cfg e modificarlo in modo che utilizzi il nome host e l'indirizzo IP locale di vCenter Server. Il paese è obbligatorio e deve contenere due caratteri, come illustrato nell'esempio seguente.
      #
      # Template file for a CSR request
      #
      
      # Country is needed and has to be 2 characters
      Country = US
      Name = STS
      Organization = ExampleInc
      OrgUnit = ExampleInc Dev
      State = Indiana
      Locality = Indianapolis
      IPAddress = 10.0.1.32
      Email = chen@exampleinc.com
      Hostname = homecenter.exampleinc.local
    4. Generare la chiave.
      /usr/lib/vmware-vmca/bin/certool --server localhost --genkey --privkey=/root/newsts/sts.key --pubkey=/root/newsts/sts.pub
      
    5. Generare il certificato.
      /usr/lib/vmware-vmca/bin/certool --gencert --cert=/root/newsts/newsts.cer --privkey=/root/newsts/sts.key --config=/root/newsts/certool.cfg
      
    6. Creare un file PEM con la catena di certificati e la chiave privata.
      cat newsts.cer /var/lib/vmware/vmca/root.cer sts.key > newsts.pem
  3. Aggiornare il certificato di firma STS, ad esempio:
    /opt/vmware/bin/sso-config.sh -set_signing_cert -t vsphere.local /root/newsts/newsts.pem
    VMCA aggiorna il certificato di firma STS in questo sistema vCenter Server e in tutti i sistemi vCenter Server collegati.

Visualizzazione della catena di certificati di firma STS di vCenter Server attivi tramite vSphere Client

È possibile utilizzare vSphere Client per visualizzare la catena di certificati di firma STS di vCenter Server attivi.

È possibile visualizzare le seguenti informazioni sul certificato STS attivo.

  • La data "Valido fino al giorno"
  • Un contrassegno verde per i certificati validi e un contrassegno arancione che segnala un certificato scaduto
  • Un link Visualizzare dettagli per visualizzare la catena di certificati attivi

Procedura

  1. Accedere con vSphere Client a vCenter Server.
  2. Immettere il nome utente e la password di un utente che disponga almeno dei privilegi di lettura.
  3. Passare all'interfaccia utente di Gestione dei certificati.
    1. Dal menu Home, selezionare Amministrazione.
    2. In Certificati, fare clic su Gestione certificati.
  4. Se il sistema lo richiede, immettere le credenziali di vCenter Server.
  5. Per visualizzare i dettagli relativi al certificato STS attivo, fare clic su Visualizzare dettagli.

Verificare la data di scadenza di un certificato SSL LDAPS tramite la riga di comando

Quando si utilizza Active Directory su LDAPS, è possibile caricare un certificato SSL per il traffico LDAP. I certificati SSL scadono al termine di un ciclo di vita predefinito. È possibile utilizzare il comando sso-config.sh per visualizzare la data di scadenza del certificato per sapere quando sostituire o rinnovare il certificato prima che scada.

vCenter Server avvisa l'utente quando un certificato SSL LDAP attivo è prossimo alla sua data di scadenza.

Le informazioni sulla scadenza del certificato vengono visualizzate solo se si utilizza Active Directory su LDAP o un'origine identità OpenLDAP e si specifica un URL ldaps:// per il server.

Prerequisiti

Abilitare l'accesso a SSH per vCenter Server. Vedere Gestione di vCenter Server mediante la shell di vCenter Server.

Procedura

  1. Accedere come root a vCenter Server.
  2. Eseguire il comando seguente.
    /opt/vmware/bin/sso-config.sh -get_identity_sources

    Ignorare i messaggi SLF4J.

  3. Per rilevare la data di scadenza, visualizzare i dettagli del certificato SSL e controllare il campo NotAfter.