管理 vCenter Server 安全性 Token 服務

vCenter Server 安全性 Token 服務 (STS) 是一項核發、驗證和更新安全性 Token 的 Web 服務。

做為 Token 簽發者，安全性 Token 服務 (STS) 會使用私密金鑰來簽署 Token，並發佈服務的公用憑證以驗證 Token 簽章。vCenter Server 管理 STS 簽署憑證並將其儲存在 VMware 目錄服務 (vmdir) 中。Token 的存留期可能很長，在過去可能已由多個金鑰中的任何一個進行簽署。

為取得 Token，使用者會向 STS 介面出示其主要認證。主要認證取決於使用者的類型。

表 1. STS 使用者和認證
使用者類型	主要認證
解決方案使用者	有效憑證。
其他使用者	vCenter Single Sign-On 身分識別來源中可用的使用者名稱和密碼。

STS 會根據主要認證對使用者進行驗證，並建構包含使用者屬性的 SAML Token。

依預設，VMWare Certificate Authority (VMCA) 會產生 STS 簽署憑證。您可以使用新的 VMCA 憑證重新整理 STS 簽署憑證。您還可以匯入預設 STS 簽署憑證並將其取代為自訂或第三方產生的 STS 簽署憑證。除非您公司的安全性原則要求取代所有憑證，否則請勿取代 STS 簽署憑證。

您可以使用 vSphere Client 執行以下作業：

重新整理 STS 憑證
匯入並取代自訂或第三方產生的 STS 憑證
檢視 STS 憑證詳細資訊，例如到期日期

您還可以使用命令列取代自訂或第三方產生的 STS 憑證。

STS 憑證持續時間和到期時間

vSphere 7.0 Update 1 及更新版本的全新安裝會建立一個 STS 簽署憑證，其持續時間為 10 年。當 STS 簽署憑證即將到期時，警示會從 90 天開始每週警告您一次，然後在距離七天時每日警告您一次。

備註：在某些情況下，取代 STS 簽署憑證可能會變更憑證的持續時間。執行憑證取代時，請注意簽發日期和到期日期。

STS 憑證自動更新

在 vSphere 8.0 及更新版本中，vCenter Single Sign-On 將自動更新 VMCA 產生的 STS 簽署憑證。自動更新發生在 STS 簽署憑證到期之前，以及觸發 90 天到期警示之前。如果自動更新失敗，vCenter Single Sign-On 會在記錄檔中建立一條錯誤訊息。如有必要，您可以手動重新整理 STS 簽署憑證。

備註： vCenter Single Sign-On 不會自動更新自訂產生的或第三方 STS 簽署憑證。

重新整理及匯入和取代 STS 憑證

在 vSphere 8.0 及更新版本中，重新整理或匯入和取代 STS 簽署憑證不需要重新啟動 vCenter Server，因此可避免出現任何停機時間。此外，在連結組態中，重新整理或匯入和取代單一 vCenter Server 上的 STS 簽署憑證會更新所有連結的 vCenter Server 系統上的 STS 憑證。

備註：在某些情況下，重新整理或匯入和取代 STS 簽署憑證可能需要手動重新啟動 vCenter Server 系統。

使用 vSphere Client 重新整理 vCenter Server STS 憑證

可以使用 vSphere Client 重新整理 vCenter Server STS 簽署憑證。VMware Certificate Authority (VMCA) 核發新憑證並取代目前憑證。

重新整理 STS 簽署憑證時，VMware Certificate Authority (VMCA) 會核發新憑證，並取代 VMware Directory Service (vmdir) 中的目前憑證。STS 開始使用新憑證核發新 Token。在增強型連結模式組態中，vmdir 會將新憑證從核發 vCenter Server 系統上傳到連結的所有 vCenter Server 系統。重新整理 STS 簽署憑證時，無需重新啟動 vCenter Server 系統，也無需重新啟動增強型連結模式組態中的任何其他 vCenter Server 系統。

如果使用自訂產生的 STS 簽署憑證或第三方 STS 簽署憑證，則重新整理動作會使用 VMCA 核發的憑證覆寫該憑證。若要更新自訂產生的 STS 簽署憑證或第三方 STS 簽署憑證，請使用匯入和取代選項。請參閱使用 vSphere Client 匯入並取代 vCenter Server STS 憑證。

VMCA 核發的 STS 簽署憑證有效期為 10 年，且不是對外憑證。除非貴公司的安全性原則需要，否則請勿取代此憑證。

必要條件

若要管理憑證，您必須提供本機網域管理員 (預設為 [email protected]) 的密碼。如果要更新憑證，還必須為在 vCenter Server 系統上具有管理員權限的使用者提供 vCenter Single Sign-On 認證。

程序

使用 vSphere Client 登入 vCenter Server。
指定 [email protected] 或 vCenter Single Sign-On 管理員群組的其他成員的使用者名稱和密碼。
如果在安裝期間指定了其他網域，請以 administrator@ mydomain 身分登入。
導覽至憑證管理 UI。
1. 從首頁功能表中，選取管理。
2. 在憑證下，按一下憑證管理。
如果系統提示您，請輸入 vCenter Server 的認證。
在 STS 簽署索引標籤下，選取所需的憑證，然後按一下使用 vCenter 憑證重新整理。
如果使用自訂產生的 STS 簽署憑證或第三方 STS 簽署憑證，則重新整理動作會使用 VMCA 產生的憑證覆寫該憑證。
備註：如果出於合規性原因而使用第三方憑證，重新整理可能會導致您的 vCenter Server 系統不符合標準。此外，如果使用自訂產生的 STS 簽署憑證或第三方 STS 簽署憑證，則 Security Token Service 不再將該自訂憑證或第三方憑證用於 Token 簽署。
按一下重新整理。
此時 VMCA 會重新整理此 vCenter Server 系統以及任何連結的 vCenter Server 系統上的 STS 簽署憑證。
(選擇性) 如果顯示強制重新整理按鈕，表明 vCenter Single Sign-On 偵測到問題。按一下強制重新整理之前，請考慮以下潛在結果。
- 如果所有受影響的 vCenter Server 系統均未至少執行 vSphere 7.0 Update 3，則不支援憑證重新整理。
- 選取強制重新整理要求重新啟動所有 vCenter Server 系統，並且可能會致使這些系統在重新啟動之前無法正常運作。
1. 如果不確定影響，請按一下取消並研究您的環境。
2. 如果確定影響，請按一下強制重新整理繼續重新整理，然後手動重新啟動 vCenter Server 系統。

使用 vSphere Client 匯入並取代 vCenter Server STS 憑證

可以使用 vSphere Client 匯入並將 vCenter Server STS 憑證取代為自訂產生的憑證或第三方憑證。

若要匯入並取代預設的 STS 簽署憑證，您必須先產生新的憑證。匯入並取代 STS 簽署憑證時，VMware Directory Service (vmdir) 會將新憑證從發出 vCenter Server 系統上傳到連結的所有 vCenter Server 系統。

STS 憑證不是對外憑證。除非貴公司的安全性原則需要，否則請勿取代此憑證。

必要條件

若要管理憑證，您必須提供本機網域管理員 (預設為 [email protected]) 的密碼。還必須為在 vCenter Server 系統上具有管理員權限的使用者提供 vCenter Single Sign-On 認證。

程序

使用 vSphere Client 登入 vCenter Server。
指定 [email protected] 或 vCenter Single Sign-On 管理員群組的其他成員的使用者名稱和密碼。
如果在安裝期間指定了其他網域，請以 administrator@ mydomain 身分登入。
導覽至憑證管理 UI。
1. 從首頁功能表中，選取管理。
2. 在憑證下，按一下憑證管理。
如果系統提示您，請輸入 vCenter Server 的認證。
在 STS 簽署索引標籤下，選取所需的憑證，然後按一下匯入並取代憑證。
選取 PEM 檔案。
PEM 檔案包括簽署憑證鏈結和私密金鑰。
按一下取代。
將在此 vCenter Server 系統和連結的任何 vCenter Server 系統上取代 STS 簽署憑證。除非另有說明，否則無需重新啟動 vCenter Server 系統。

使用命令列取代 vCenter Server STS 憑證

可以使用 CLI 將 vCenter Server STS 憑證取代為自訂產生的憑證或第三方憑證。

若要使用公司要求的憑證或更新即將到期的憑證，您可以取代現有的 STS 簽署憑證。若要取代預設的 STS 簽署憑證，您必須先產生新的憑證。

STS 憑證不是對外憑證。除非貴公司的安全性原則需要，否則請勿取代此憑證。

注意：您必須使用此處所述的程序。請勿直接取代檔案系統中的憑證。

必要條件

啟用以透過 SSH 登入 vCenter Server。請參閱使用 vCenter Server Shell 管理 vCenter Server。

程序

以根使用者身分登入 vCenter Server Shell。

建立憑證。

建立頂層目錄以存放新憑證，並確認目錄的位置。
```
mkdir newsts
cd newsts
pwd 
#resulting output: /root/newsts
```

將 certool.cfg 檔案複製到新目錄。

cp /usr/lib/vmware-vmca/share/config/certool.cfg /root/newsts

使用諸如 Vim 等命令列編輯器，開啟 certool.cfg 檔案的複本，然後對其進行編輯以使用本機 vCenter Server IP 位址和主機名稱。國家/地區是必要的，並且必須是兩個字元，如以下範例所示。

#
# Template file for a CSR request
#

# Country is needed and has to be 2 characters
Country = US
Name = STS
Organization = ExampleInc
OrgUnit = ExampleInc Dev
State = Indiana
Locality = Indianapolis
IPAddress = 10.0.1.32
Email = [email protected]
Hostname = homecenter.exampleinc.local

產生金鑰。

/usr/lib/vmware-vmca/bin/certool --server localhost --genkey --privkey=/root/newsts/sts.key --pubkey=/root/newsts/sts.pub

產生憑證。

/usr/lib/vmware-vmca/bin/certool --gencert --cert=/root/newsts/newsts.cer --privkey=/root/newsts/sts.key --config=/root/newsts/certool.cfg

建立具有憑證鏈結和私密金鑰的 PEM 檔案。

cat newsts.cer /var/lib/vmware/vmca/root.cer sts.key > newsts.pem

更新 STS 簽署憑證，例如：
```
/opt/vmware/bin/sso-config.sh -set_signing_cert -t vsphere.local /root/newsts/newsts.pem
```
此時 VMCA 會重新整理此 vCenter Server 系統以及任何連結的 vCenter Server 系統上的 STS 簽署憑證。

使用 vSphere Client 檢視作用中 vCenter Server STS 簽署憑證鏈結

您可以使用 vSphere Client 檢視作用中的 vCenter Server STS 簽署憑證鏈結和憑證資訊，例如「有效期至」日期。

程序

使用 vSphere Client 登入 vCenter Server。
輸入至少具有讀取權限之使用者的使用者名稱和密碼。
導覽至憑證管理 UI。
1. 從首頁功能表中，選取管理。
2. 在憑證下，按一下憑證管理。
如果系統提示您，請輸入 vCenter Server 的認證。
在 STS 簽署索引標籤下，選取一個憑證，然後展開該憑證。
此時將顯示憑證和核發資訊，包括：
- 「有效期至」日期
- 綠色核取記號表示有效憑證，橙色核取記號表示到期憑證警告

使用命令列確定 LDAPS SSL 憑證的到期日期

使用 Active Directory over LDAPS 時，您可以為 LDAP 流量上傳 SSL 憑證。SSL 憑證在預先定義的週期之後到期。您可以使用 sso-config.sh 命令檢視憑證的到期日期，以便您知道在憑證到期之前加以取代或更新。

vCenter Server 會在作用中 LDAP SSL 憑證接近其到期日期時向您發出警示。

您僅在使用 Active Directory over LDAP 或 OpenLDAP 身分識別來源，並為伺服器指定 ldaps:// URL 時才會看到憑證到期資訊。

必要條件

啟用以透過 SSH 登入 vCenter Server。請參閱使用 vCenter Server Shell 管理 vCenter Server。

程序

以根使用者身分登入 vCenter Server。

執行下列命令。

/opt/vmware/bin/sso-config.sh -get_identity_sources

忽略 SLF4J 訊息。

若要確定到期日期，請檢視 SSL 憑證的詳細資料並驗證 NotAfter 欄位。