在應用裝置上產生新的 STS 簽署憑證

由於 vCenter Single Sign-On 安全性 Token 服務 (STS) 簽署憑證是內部 VMware 憑證，因此請不要將其取代，除非您的公司要求取代內部憑證。如果想要取代預設 STS 簽署憑證，您必須產生新憑證並將其新增到 Java 金鑰存放區。此程序說明了內嵌式部署應用裝置或外部 Platform Services Controller應用裝置的步驟。

備註：此憑證有效期為十年，且不是對外憑證。如果不是公司的安全政策要求，請勿取代此憑證。

如果您正在執行 Platform Services ControllerWindows 安裝，請參閱在 vCenter Windows 安裝上產生新 STS 簽署憑證。

程序

建立頂層目錄以存放新憑證，並確認目錄的位置。
```
mkdir newsts
cd newsts
pwd 
#resulting output: /root/newst
```

將 certool.cfg 檔案複製到新目錄。

cp /usr/lib/vmware-vmca/share/config/certool.cfg /root/newsts

開啟 certool.cfg 檔案的複本，然後對其進行編輯以使用本機 Platform Services Controller IP 位址和主機名稱。

國家/地區是必要的，並且必須是兩個字元，如以下範例所示。

#
# Template file for a CSR request
#

# Country is needed and has to be 2 characters
Country = US
Name = STS
Organization = ExampleInc
OrgUnit = ExampleInc Dev
State = Indiana
Locality = Indianapolis
IPAddress = 10.0.1.32
Email = [email protected]
Hostname = homecenter.exampleinc.local

產生金鑰。

/usr/lib/vmware-vmca/bin/certool --server localhost --genkey --privkey=/root/newsts/sts.key --pubkey=/root/newsts/sts.pub

產生憑證

/usr/lib/vmware-vmca/bin/certool --gencert --cert=/root/newsts/newsts.cer --privkey=/root/newsts/sts.key --config=/root/newsts/certool.cfg

將憑證轉換為 PK12 格式。

openssl pkcs12 -export -in /root/newsts/newsts.cer -inkey /root/newsts/sts.key -certfile /var/lib/vmware/vmca/root.cer -name "newstssigning" -passout pass:testpassword -out newsts.p12

將憑證新增到 Java 金鑰存放區 (JKS)。

/usr/java/jre-vmware/bin/keytool -v -importkeystore -srckeystore newsts.p12 -srcstoretype pkcs12 -srcstorepass testpassword -srcalias newstssigning -destkeystore root-trust.jks -deststoretype JKS -deststorepass testpassword -destkeypass testpassword

/usr/java/jre-vmware/bin/keytool -v -importcert -keystore root-trust.jks -deststoretype JKS -storepass testpassword -keypass testpassword -file /var/lib/vmware/vmca/root.cer -alias root-ca

使用 keytool -help 取得所有可用命令的清單。

當收到提示時，輸入 Yes 以接受新增至金鑰儲存區的憑證。

下一步

現在您可以匯入新憑證。請參閱重新整理安全性 Token 服務憑證。