vCenter Single Sign-On 伺服器包含安全性 Token 服務 (STS)。安全性 Token 服務是一項核發、驗證和續訂安全性 Token 的 Web 服務。當現有的安全性 Token 服務憑證到期或變更時,您可從 vSphere Web Client 手動重新整理。

開始之前

將剛從 Platform Services Controller 新增到 Java 金鑰儲存區的憑證複製到本機工作站。

Platform Services Controller 應用裝置

certificate_location/keys/root-trust.jks 例如:/keys/root-trust.jks

例如:

/root/newsts/keys/root-trust.jks

Windows 安裝

certificate_location\root-trust.jks

例如:

C:\Program Files\VMware\vCenter Server\jre\bin\root-trust.jks

執行這項作業的原因和時機

若要取得 SAML Token,使用者需要為安全性 Token 服務 (STS) 提供主要認證。主要認證取決於使用者的類型:

解決方案使用者

有效憑證

其他使用者

vCenter Single Sign-On 身分識別來源中可用的使用者名稱和密碼。

STS 使用主要認證對使用者進行驗證,並建構包含使用者屬性的 SAML Token。STS 服務將透過其 STS 簽署憑證來簽署 SAML Token,然後將 Token 指派給使用者。依預設,STS 簽署憑證由 VMCA 產生。

使用者擁有 SAML Token 後,可能會透過各種 Proxy 將 SAML Token 做為該使用者 HTTP 要求的一部分進行傳送。只有預期收件者 (服務提供者) 才可以使用 SAML Token 中的資訊。

如果公司原則要求或者您想要更新到期的憑證,可取代現有 STS 簽署憑證 vSphere Web Client

警告︰

請勿取代檔案系統中的檔案。如果取代,則會導致未預期及難以進行偵錯的錯誤。

備註︰

當取代憑證後,您必須重新啟動節點以同時重新啟動 vSphere Web Client 服務與 STS 服務。

程序

  1. 以 administrator@vsphere.local 或擁有 vCenter Single Sign-On 管理員權限的其他使用者身分登入 vSphere Web Client

    具有 vCenter Single Sign-On 管理員權限的使用者位於 vsphere.local 網域的管理員群組中。

  2. 依序選取憑證索引標籤和 STS 簽署子索引標籤,然後按一下新增 STS 簽署憑證圖示。
  3. 新增憑證。
    1. 按一下瀏覽可瀏覽到包含新憑證的金鑰存放區 JKS 檔案,然後按一下開啟
    2. 收到提示時,輸入密碼。
    3. 按一下頂部的 STS 別名連結,然後按一下確定
    4. 收到提示時,再次輸入密碼。
  4. 按一下確定
  5. 重新啟動 Platform Services Controller 節點以同時啟動 STS 服務和 vSphere Web Client

    重新啟動前,驗證無法正確地工作,所以重新啟動是必要的。