如果您想要取代預設 vCenter Single Sign-On Security Token Service (STS) 簽署憑證,則必須產生新憑證並將它新增至 Java 金鑰儲存區。此程序說明了內嵌式部署應用裝置或外部 Platform Services Controller 應用裝置的步驟。

執行這項作業的原因和時機

備註︰

此憑證有效期為十年,且不是對外憑證。如果不是公司的安全政策要求,請勿取代此憑證。

如果您正在執行 Platform Services Controller Windows 安裝,請參閱在 vCenter Windows 安裝上產生新 STS 簽署憑證

程序

  1. 建立頂層目錄以存放新憑證,並確認目錄的位置。
    mkdir newsts
    cd newsts
    pwd 
    #resulting output: /root/newst
  2. certool.cfg 檔案複製到新目錄。
    cp /usr/lib/vmware-vmca/share/config/certool.cfg /root/newsts
    
  3. 開啟 certool.cfg 檔案的複本,然後對其進行編輯以使用本機 Platform Services Controller IP 位址和主機名稱。

    國家/地區是必要的,並且必須是兩個字元,如以下範例所示。

    #
    # Template file for a CSR request
    #
    
    # Country is needed and has to be 2 characters
    Country = US
    Name = STS
    Organization = ExampleInc
    OrgUnit = ExampleInc Dev
    State = Indiana
    Locality = Indianapolis
    IPAddress = 10.0.1.32
    Email = chen@exampleinc.com
    Hostname = homecenter.exampleinc.local
  4. 產生金鑰。
    /usr/lib/vmware-vmca/bin/certool --server localhost --genkey --privkey=/root/newsts/sts.key --pubkey=/root/newsts/sts.pub
  5. 產生憑證
    /usr/lib/vmware-vmca/bin/certool --gencert --cert=/root/newsts/newsts.cer --privkey=/root/newsts/sts.key --config=/root/newsts/certool.cfg
    
  6. 將憑證轉換為 PK12 格式。
    openssl pkcs12 -export -in /root/newsts/newsts.cer -inkey /root/newsts/sts.key -certfile /etc/vmware-sso/keys/ssoserverRoot.crt -name "newstssigning" -passout pass:changeme -out newsts.p12
  7. 將憑證新增到 Java 金鑰存放區 (JKS)。
    /usr/java/jre-vmware/bin/keytool -v -importkeystore -srckeystore newsts.p12 -srcstoretype pkcs12 -srcstorepass changeme -srcalias newstssigning -destkeystore root-trust.jks -deststoretype JKS -deststorepass testpassword -destkeypass testpassword
    
    /usr/java/jre-vmware/bin/keytool -v -importcert -keystore root-trust.jks -deststoretype JKS -storepass testpassword -keypass testpassword -file /etc/vmware-sso/keys/ssoserverRoot.crt -alias root-ca
    
  8. 當收到提示時,輸入 Yes 以接受新增至金鑰儲存區的憑證。

下一步

現在您可以匯入新憑證。請參閱重新整理安全性 Token 服務憑證