vCenter Server 安全性 Token 服務 (STS) 是一項核發、驗證和更新安全性 Token 的 Web 服務。
做為 Token 簽發者,安全性 Token 服務 (STS) 會使用私密金鑰來簽署 Token,並發佈服務的公用憑證以驗證 Token 簽章。vCenter Server 管理 STS 簽署憑證並將其儲存在 VMware 目錄服務 (vmdir) 中。Token 的存留期可能很長,在過去可能已由多個金鑰中的任何一個進行簽署。
為取得 Token,使用者會向 STS 介面出示其主要認證。主要認證取決於使用者的類型。
STS 會根據主要認證對使用者進行驗證,並建構包含使用者屬性的 SAML Token。
依預設,VMWare Certificate Authority (VMCA) 會產生 STS 簽署憑證。您可以使用新的 VMCA 憑證重新整理 STS 簽署憑證。您還可以匯入預設 STS 簽署憑證並將其取代為自訂或第三方產生的 STS 簽署憑證。除非您公司的安全性原則要求取代所有憑證,否則請勿取代 STS 簽署憑證。
您可以使用 vSphere Client 執行以下作業:
- 重新整理 STS 憑證
- 匯入並取代自訂或第三方產生的 STS 憑證
- 檢視 STS 憑證詳細資訊,例如到期日期
您還可以使用命令列取代自訂或第三方產生的 STS 憑證。
STS 憑證持續時間和到期時間
vSphere 7.0 Update 1 及更新版本的全新安裝會建立一個 STS 簽署憑證,其持續時間為 10 年。當 STS 簽署憑證即將到期時,警示會從 90 天開始每週警告您一次,然後在距離七天時每日警告您一次。
備註: 在某些情況下,取代 STS 簽署憑證可能會變更憑證的持續時間。執行憑證取代時,請注意簽發日期和到期日期。
