vCenter Single Sign-On STS(Security Token Service) 서명 인증서는 내부 VMware 인증서이므로 회사에서 내부 인증서의 교체를 요구하는 경우가 아니라면 교체하지 마십시오. 기본 STS 서명 인증서를 교체하려면 새 인증서를 생성하고 Java 키 저장소에 추가해야 합니다. 이 절차에서는 내장된 배포 장치 또는 외부 Platform Services Controller 장치에 대해 수행하는 단계를 설명합니다.

참고: 이 인증서는 10년간 유효하며 외부를 대상으로 하는 인증서가 아닙니다. 회사의 보안 정책에서 요구하는 경우 이외에는 이 인증서를 교체하지 마십시오.

Platform Services Controller Windows 설치를 실행하는 경우에는 vCenter Windows 설치에서 새 STS 서명 인증서 생성의 내용을 참조하십시오.

프로시저

  1. 새 인증서를 저장할 최상위 디렉토리를 생성하고 디렉토리의 위치를 확인합니다. 
    mkdir newsts
cd newsts
pwd 
#resulting output: /root/newst
  2. certool.cfg 파일을 새 디렉토리에 복사합니다. 
    cp /usr/lib/vmware-vmca/share/config/certool.cfg /root/newsts
  3. certool.cfg 파일 사본을 열고, 로컬 Platform Services Controller IP 주소와 호스트 이름을 사용하도록 편집합니다.
    국가는 필수 항목이며, 아래 예제에 나와 있는 대로 2자여야 합니다. 
    #
# Template file for a CSR request
#

# Country is needed and has to be 2 characters
Country = US
Name = STS
Organization = ExampleInc
OrgUnit = ExampleInc Dev
State = Indiana
Locality = Indianapolis
IPAddress = 10.0.1.32
Email = [email protected]
Hostname = homecenter.exampleinc.local
  4. 키를 생성합니다. 
    /usr/lib/vmware-vmca/bin/certool --server localhost --genkey --privkey=/root/newsts/sts.key --pubkey=/root/newsts/sts.pub
  5. 인증서를 생성합니다. 
    /usr/lib/vmware-vmca/bin/certool --gencert --cert=/root/newsts/newsts.cer --privkey=/root/newsts/sts.key --config=/root/newsts/certool.cfg
  6. 인증서를 PK12 형식으로 변환합니다. 
    openssl pkcs12 -export -in /root/newsts/newsts.cer -inkey /root/newsts/sts.key -certfile /var/lib/vmware/vmca/root.cer -name "newstssigning" -passout pass:testpassword -out newsts.p12
  7. 인증서를 JKS(Java 키 저장소)에 추가합니다. 
    /usr/java/jre-vmware/bin/keytool -v -importkeystore -srckeystore newsts.p12 -srcstoretype pkcs12 -srcstorepass testpassword -srcalias newstssigning -destkeystore root-trust.jks -deststoretype JKS -deststorepass testpassword -destkeypass testpassword

/usr/java/jre-vmware/bin/keytool -v -importcert -keystore root-trust.jks -deststoretype JKS -storepass testpassword -keypass testpassword -file /var/lib/vmware/vmca/root.cer -alias root-ca

    사용 가능한 모든 명령 목록에 keytool -help를 사용합니다.

  8. 메시지가 표시되면 를 입력하여 키 저장소에 인증서를 수락합니다.

다음에 수행할 작업

이제 새 인증서를 가져올 수 있습니다. 보안 토큰 서비스 인증서 새로 고침의 내용을 참조하십시오.