vCenter Server の Security Token Service (STS) は、セキュリティ トークンの発行、検証、更新を行う Web サービスです。

トークンの発行者である Security Token Service (STS) では、プライベート キーを使用してトークンに署名し、サービスのパブリック証明書を公開してトークンの署名を検証します。vCenter Server では、STS 署名証明書が管理され、VMware Directory Service (vmdir) に保存されます。トークンは有効期間が長く、複数のキーのいずれも、これまで署名に使用された可能性があります。

ユーザーはプライマリ認証情報を STS インターフェイスに提供して、トークンを取得します。プライマリ認証情報は、ユーザーのタイプによって異なります。
ソリューション ユーザー
有効な証明書
その他のユーザー
vCenter Single Sign-On アイデンティティ ソースで使用できるユーザー名とパスワード

STS は、プライマリ認証情報に基づいてユーザーを認証し、ユーザー属性が含まれている SAML トークンを構築します。

デフォルトでは、VMware Certificate Authority (VMCA) で STS 署名証明書が生成されます。STS 署名証明書を新しい VMCA 証明書で更新できます。デフォルトの STS 署名証明書をインポートして、カスタムまたはサードパーティによって生成された STS 署名証明書と置き換えることもできます。会社のセキュリティ ポリシーですべての証明書の置き換えが必要な場合を除いて、STS 署名証明書を置き換えないでください。

vSphere Client を使用して、以下のことを行えます。

  • STS 証明書の管理
  • カスタムおよびサードパーティによって生成された STS 証明書のインポートと置き換え
  • 有効期限などの STS 証明書の詳細を表示

コマンド ラインを使用して、カスタムおよびサードパーティによって生成された STS 証明書を置き換えることもできます。

STS 証明書の期間と有効期限

vSphere 7.0 Update 1 以降の新規インストールでは、10 年の期間を持つ STS 署名証明書が作成されます。STS 署名証明書の有効期限が近づくと、90 日前から 1 週間に 1 回アラームが表示され、7 日前になると毎日表示されます。

注: 特定の状況では、STS 署名証明書を置き換えると、証明書の有効期間が変わることがあります。証明書の置き換えを実行する場合は、発行日と有効期間に注意してください。