vCenter Single Sign-On伺服器包含安全性 Token 服務 (STS)。安全性 Token 服務是一項核發、驗證和續訂安全性 Token 的 Web 服務。當現有的安全性 Token 服務憑證到期或變更時,您可從 vSphere Web Client手動重新整理。
若要取得 SAML Token,使用者需要為安全性 Token 服務 (STS) 提供主要認證。主要認證取決於使用者的類型:
-
解決方案使用者
-
有效憑證
-
其他使用者
-
vCenter Single Sign-On身分識別來源中可用的使用者名稱和密碼。
STS 使用主要認證對使用者進行驗證,並建構包含使用者屬性的 SAML Token。STS 服務將透過其 STS 簽署憑證來簽署 SAML Token,然後將 Token 指派給使用者。依預設,STS 簽署憑證由 VMCA 產生。
使用者擁有 SAML Token 後,可能會透過各種 Proxy 將 SAML Token 做為該使用者 HTTP 要求的一部分進行傳送。只有預期收件者 (服務提供者) 才可以使用 SAML Token 中的資訊。
如果公司原則要求或者您想要更新到期的憑證,可取代現有 STS 簽署憑證
vSphere Web Client。
注意: 請勿取代檔案系統中的檔案。如果取代,則會導致未預期及難以進行偵錯的錯誤。
備註: 當取代憑證後,您必須重新啟動節點以同時重新啟動
vSphere Web Client服務與 STS 服務。
必要條件
將剛從
Platform Services Controller新增到 Java 金鑰儲存區的憑證複製到本機工作站。
-
Platform Services Controller應用裝置
-
certificate_location/keys/root-trust.jks 例如:/keys/root-trust.jks
-
例如:
-
/root/newsts/keys/root-trust.jks
-
Windows 安裝
-
certificate_location\root-trust.jks
-
例如:
-
C:\Program Files\VMware\vCenter Server\jre\bin\root-trust.jks
程序
- 以 [email protected] 或擁有 vCenter Single Sign-On 管理員權限的其他使用者身分登入 vSphere Web Client。
具有
vCenter Single Sign-On 管理員權限的使用者位於本機
vCenter Single Sign-On 網域 (依預設為 vsphere.local) 的管理員群組中。
- 導覽至組態 UI。
- 從首頁功能表中,選取管理。
- 在 Single Sign On 下,按一下組態。
- 依序選取憑證索引標籤和 STS 簽署子索引標籤,然後按一下新增 STS 簽署憑證圖示。
- 新增憑證。
- 按一下瀏覽可瀏覽到包含新憑證的金鑰存放區 JKS 檔案,然後按一下開啟。
- 收到提示時,輸入密碼。
- 按一下頂部的 STS 別名連結,然後按一下確定。
- 收到提示時,再次輸入密碼。
- 按一下確定。
- 重新啟動 Platform Services Controller節點以同時啟動 STS 服務和 vSphere Web Client。
重新啟動前,驗證無法正確地工作,所以重新啟動是必要的。
