如果想要取代預設 STS 簽署憑證,您必須先產生新憑證並將其新增到 Java 金鑰存放區。此程序會說明 Windows 安裝的步驟。

執行這項作業的原因和時機

備註︰

此憑證有效期為十年,且不是對外憑證。如果不是公司的安全政策要求,請勿取代此憑證。

如果您正在使用虛擬應用裝置,請參閱在應用裝置上產生新的 STS 簽署憑證

程序

  1. 建立新目錄以保存新憑證。
    cd C:\ProgramData\VMware\vCenterServer\cfg\sso\keys\
    mkdir newsts
    cd newsts
  2. 建立 certool.cfg 檔案的複本,並將其放在新目錄中。
    copy "C:\Program Files\VMware\vCenter Server\vmcad\certool.cfg" .
  3. 開啟 certool.cfg 檔案的複本,然後對其進行編輯以使用本機 Platform Services Controller IP 位址和主機名稱。

    需要輸入國家/地區,並且必須為兩個字元。以下範例對此進行了說明。

    #
    # Template file for a CSR request
    #
    
    # Country is needed and has to be 2 characters
    Country = US
    Name = STS
    Organization = ExampleInc
    OrgUnit = ExampleInc Dev
    State = Indiana
    Locality = Indianapolis
    IPAddress = 10.0.1.32
    Email = chen@exampleinc.com
    Hostname = homecenter.exampleinc.local
  4. 產生金鑰。
    "C:\Program Files\VMware\vCenter Server\vmcad\certool.exe" --server localhost --genkey --privkey=sts.key --pubkey=sts.pub
  5. 產生憑證。
    "C:\Program Files\VMware\vCenter Server\vmcad\certool.exe" --gencert --cert=newsts.cer --privkey=sts.key --config=certool.cfg
  6. 將憑證轉換為 PK12 格式。
    "C:\Program Files\VMware\vCenter Server\openSSL\openssl.exe" pkcs12 -export -in newsts.cer -inkey sts.key -certfile ..\ssoserverRoot.crt -name "newstssigning" -passout pass:changeme -out newsts.p12
    
  7. 將憑證新增到 Java 金鑰存放區 (JKS)。
    "C:\Program Files\VMware\vCenter Server\jre\bin\keytool.exe" -v -importkeystore -srckeystore newsts.p12 -srcstoretype pkcs12 -srcstorepass changeme -srcalias newstssigning -destkeystore root-trust.jks -deststoretype JKS -deststorepass testpassword -destkeypass testpassword
    "C:\Program Files\VMware\vCenter Server\jre\bin\keytool.exe" -v -importcert -keystore root-trust.jks -deststoretype JKS -storepass testpassword -keypass testpassword -file ..\ssoserverRoot.crt -alias root-ca

下一步

現在您可以匯入新憑證。請參閱重新整理安全性 Token 服務憑證