vCenter Single Sign-On Security Token Service (STS) 署名証明書は内部的な VMware 証明書であるため、会社が内部証明書の置き換えを必要としている場合を除き、置き換えないでください。デフォルトの STS 署名証明書を置き換える場合は、新しい証明書を生成し、Java キーストアに追加する必要があります。ここでは、組み込まれたデプロイ アプライアンスまたは外部の Platform Services Controller アプライアンスに対する手順について説明します。

注: この証明書は 10 年間有効で、外部向けの証明書ではありません。会社のセキュリティ ポリシーで要求される場合を除き、この証明書を置き換えないでください。

Platform Services Controller の Windows 環境を実行している場合は、vCenter Server Windows 環境での新しい STS 署名証明書の生成を参照してください。

手順

  1. 新しい証明書を保持するためのトップレベル ディレクトリを作成し、ディレクトリの場所を確認します。
    mkdir newsts
    cd newsts
    pwd 
    #resulting output: /root/newst
  2. 新しいディレクトリに certool.cfg ファイルをコピーします。
    cp /usr/lib/vmware-vmca/share/config/certool.cfg /root/newsts
    
  3. certool.cfg ファイルのコピーを開き、ローカルの Platform Services Controller IP アドレスとホスト名を使用するように編集します。
    国は必須で、次の例に示すように 2 文字で指定する必要があります。
    #
    # Template file for a CSR request
    #
    
    # Country is needed and has to be 2 characters
    Country = US
    Name = STS
    Organization = ExampleInc
    OrgUnit = ExampleInc Dev
    State = Indiana
    Locality = Indianapolis
    IPAddress = 10.0.1.32
    Email = [email protected]
    Hostname = homecenter.exampleinc.local
  4. キーを生成します。
    /usr/lib/vmware-vmca/bin/certool --server localhost --genkey --privkey=/root/newsts/sts.key --pubkey=/root/newsts/sts.pub
  5. 証明書を生成します
    /usr/lib/vmware-vmca/bin/certool --gencert --cert=/root/newsts/newsts.cer --privkey=/root/newsts/sts.key --config=/root/newsts/certool.cfg
    
  6. 証明書を PK12 形式に変換します。
    openssl pkcs12 -export -in /root/newsts/newsts.cer -inkey /root/newsts/sts.key -certfile /var/lib/vmware/vmca/root.cer -name "newstssigning" -passout pass:testpassword -out newsts.p12
  7. Java キーストア (JKS) に証明書を追加します。
    /usr/java/jre-vmware/bin/keytool -v -importkeystore -srckeystore newsts.p12 -srcstoretype pkcs12 -srcstorepass testpassword -srcalias newstssigning -destkeystore root-trust.jks -deststoretype JKS -deststorepass testpassword -destkeypass testpassword
    
    /usr/java/jre-vmware/bin/keytool -v -importcert -keystore root-trust.jks -deststoretype JKS -storepass testpassword -keypass testpassword -file /var/lib/vmware/vmca/root.cer -alias root-ca
    

    使用可能なすべてのコマンドのリストについては、keytool -help を使用します。

  8. プロンプトが表示されたら、Yes と入力してキーストアへの証明書の追加を承諾します。

次のタスク

これで、新しい証明書をインポートすることができます。Security Token Service 証明書の更新を参照してください。