由於 vCenter Single Sign-On 安全性 Token 服務 (STS) 簽署憑證是內部 VMware 憑證,因此請不要將其取代,除非您的公司要求取代內部憑證。如果想要取代預設 STS 簽署憑證,您必須產生新憑證並將其新增到 Java 金鑰存放區。此程序說明了內嵌式部署應用裝置或外部 Platform Services Controller應用裝置的步驟。

備註: 此憑證有效期為十年,且不是對外憑證。如果不是公司的安全政策要求,請勿取代此憑證。

如果您正在執行 Platform Services ControllerWindows 安裝,請參閱在 vCenter Windows 安裝上產生新 STS 簽署憑證

程序

  1. 建立頂層目錄以存放新憑證,並確認目錄的位置。 
    mkdir newsts
cd newsts
pwd 
#resulting output: /root/newst
  2. certool.cfg 檔案複製到新目錄。 
    cp /usr/lib/vmware-vmca/share/config/certool.cfg /root/newsts
  3. 開啟 certool.cfg 檔案的複本,然後對其進行編輯以使用本機 Platform Services Controller IP 位址和主機名稱。
    國家/地區是必要的,並且必須是兩個字元,如以下範例所示。 
    #
# Template file for a CSR request
#

# Country is needed and has to be 2 characters
Country = US
Name = STS
Organization = ExampleInc
OrgUnit = ExampleInc Dev
State = Indiana
Locality = Indianapolis
IPAddress = 10.0.1.32
Email = [email protected]
Hostname = homecenter.exampleinc.local
  4. 產生金鑰。 
    /usr/lib/vmware-vmca/bin/certool --server localhost --genkey --privkey=/root/newsts/sts.key --pubkey=/root/newsts/sts.pub
  5. 產生憑證 
    /usr/lib/vmware-vmca/bin/certool --gencert --cert=/root/newsts/newsts.cer --privkey=/root/newsts/sts.key --config=/root/newsts/certool.cfg
  6. 將憑證轉換為 PK12 格式。 
    openssl pkcs12 -export -in /root/newsts/newsts.cer -inkey /root/newsts/sts.key -certfile /var/lib/vmware/vmca/root.cer -name "newstssigning" -passout pass:testpassword -out newsts.p12
  7. 將憑證新增到 Java 金鑰存放區 (JKS)。 
    /usr/java/jre-vmware/bin/keytool -v -importkeystore -srckeystore newsts.p12 -srcstoretype pkcs12 -srcstorepass testpassword -srcalias newstssigning -destkeystore root-trust.jks -deststoretype JKS -deststorepass testpassword -destkeypass testpassword

/usr/java/jre-vmware/bin/keytool -v -importcert -keystore root-trust.jks -deststoretype JKS -storepass testpassword -keypass testpassword -file /var/lib/vmware/vmca/root.cer -alias root-ca

    使用 keytool -help 取得所有可用命令的清單。

  8. 當收到提示時,輸入 Yes 以接受新增至金鑰儲存區的憑證。

下一步

現在您可以匯入新憑證。請參閱重新整理安全性 Token 服務憑證