기본 vCenter Single Sign-On STS(Security Token Service) 서명 인증서를 교체하려면 새 인증서를 생성한 후 Java 키 저장소에 추가해야 합니다. 이 절차에서는 내장된 배포 장치 또는 외부 Platform Services Controller 장치에 대해 수행하는 단계를 설명합니다.

이 태스크 정보

참고:

이 인증서는 10년간 유효하며 외부를 대상으로 하는 인증서가 아닙니다. 회사의 보안 정책에서 요구하는 경우 이외에는 이 인증서를 교체하지 마십시오.

Platform Services Controller Windows 설치를 실행하는 경우에는 vCenter Windows 설치에서 새 STS 서명 인증서 생성을 참조하십시오.

프로시저

  1. 새 인증서를 저장할 최상위 디렉토리를 생성하고 디렉토리의 위치를 확인합니다.
    mkdir newsts
    cd newsts
    pwd 
    #resulting output: /root/newst
  2. certool.cfg 파일을 새 디렉토리에 복사합니다.
    cp /usr/lib/vmware-vmca/share/config/certool.cfg /root/newsts
    
  3. certool.cfg 파일 사본을 열고, 로컬 Platform Services Controller IP 주소와 호스트 이름을 사용하도록 편집합니다.

    국가는 필수 항목이며, 아래 예제에 나와 있는 대로 2자여야 합니다.

    #
    # Template file for a CSR request
    #
    
    # Country is needed and has to be 2 characters
    Country = US
    Name = STS
    Organization = ExampleInc
    OrgUnit = ExampleInc Dev
    State = Indiana
    Locality = Indianapolis
    IPAddress = 10.0.1.32
    Email = chen@exampleinc.com
    Hostname = homecenter.exampleinc.local
  4. 키를 생성합니다.
    /usr/lib/vmware-vmca/bin/certool --server localhost --genkey --privkey=/root/newsts/sts.key --pubkey=/root/newsts/sts.pub
  5. 인증서를 생성합니다.
    /usr/lib/vmware-vmca/bin/certool --gencert --cert=/root/newsts/newsts.cer --privkey=/root/newsts/sts.key --config=/root/newsts/certool.cfg
    
  6. 인증서를 PK12 형식으로 변환합니다.
    openssl pkcs12 -export -in /root/newsts/newsts.cer -inkey /root/newsts/sts.key -certfile /etc/vmware-sso/keys/ssoserverRoot.crt -name "newstssigning" -passout pass:changeme -out newsts.p12
  7. 인증서를 JKS(Java 키 저장소)에 추가합니다.
    /usr/java/jre-vmware/bin/keytool -v -importkeystore -srckeystore newsts.p12 -srcstoretype pkcs12 -srcstorepass changeme -srcalias newstssigning -destkeystore root-trust.jks -deststoretype JKS -deststorepass testpassword -destkeypass testpassword
    
    /usr/java/jre-vmware/bin/keytool -v -importcert -keystore root-trust.jks -deststoretype JKS -storepass testpassword -keypass testpassword -file /etc/vmware-sso/keys/ssoserverRoot.crt -alias root-ca
    
  8. 메시지가 표시되면 를 입력하여 키 저장소에 인증서를 수락합니다.

다음에 수행할 작업

이제 새 인증서를 가져올 수 있습니다. 보안 토큰 서비스 인증서 새로 고침를 참조하십시오.