vCenter Single Sign-On Security Token Service (STS) 署名証明書は内部的な VMware 証明書であるため、会社が内部証明書の置き換えを必要としている場合を除き、置き換えないでください。デフォルトの STS 署名証明書を置き換える場合は、最初に新しい証明書を生成し、Java キーストアに追加する必要があります。ここでは、Windows 環境での手順について説明します。

注: この証明書は 10 年間有効で、外部向けの証明書ではありません。会社のセキュリティ ポリシーで要求される場合を除き、この証明書を置き換えないでください。

仮想アプライアンスを使用している場合は、アプライアンスでの新しい STS 署名証明書の生成を参照してください。

手順

  1. 新しい証明書を保持するためのディレクトリを作成します。 
    cd C:\ProgramData\VMware\vCenterServer\cfg\sso\keys\
mkdir newsts
cd newsts
  2. certool.cfg ファイルのコピーを作成し、新しいディレクトリに配置します。 
    copy "C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg" .
  3. certool.cfg ファイルのコピーを開き、ローカルの Platform Services Controller IP アドレスとホスト名を使用するように編集します。
    国は必須で、2 文字で指定する必要があります。以下に例を示します。 
    #
# Template file for a CSR request
#

# Country is needed and has to be 2 characters
Country = US
Name = STS
Organization = ExampleInc
OrgUnit = ExampleInc Dev
State = Indiana
Locality = Indianapolis
IPAddress = 10.0.1.32
Email = [email protected]
Hostname = homecenter.exampleinc.local
  4. キーを生成します。 
    "C:\Program Files\VMware\vCenter Server\vmcad\certool.exe" --server localhost --genkey --privkey=sts.key --pubkey=sts.pub
  5. 証明書を生成します 
    "C:\Program Files\VMware\vCenter Server\vmcad\certool.exe" --gencert --cert=newsts.cer --privkey=sts.key --config=certool.cfg
  6. 証明書を PK12 形式に変換します。 
    "C:\Program Files\VMware\vCenter Server\openSSL\openssl.exe" pkcs12 -export -in newsts.cer -inkey sts.key -certfile C:\ProgramData\VMware\vCenterServer\data\vmca\root.cer -name "newstssigning" -passout pass:changeme -out newsts.p12
  7. Java キーストア (JKS) に証明書を追加します。 
    "C:\Program Files\VMware\vCenter Server\jre\bin\keytool.exe" -v -importkeystore -srckeystore newsts.p12 -srcstoretype pkcs12 -srcstorepass changeme -srcalias newstssigning -destkeystore root-trust.jks -deststoretype JKS -deststorepass testpassword -destkeypass testpassword
"C:\Program Files\VMware\vCenter Server\jre\bin\keytool.exe" -v -importcert -keystore root-trust.jks -deststoretype JKS -storepass testpassword -keypass testpassword -file C:\ProgramData\VMware\vCenterServer\data\vmca\root.cer -alias root-ca

次のタスク

これで、新しい証明書をインポートすることができます。Security Token Service 証明書の更新を参照してください。