VMware VCSA6.0版本 更新STS证书

如果要替换默认的 vCenter Single Sign-On Security Token Service (STS) 签名证书，您必须生成新证书并将其添加到 Java 密钥库。此过程说明了在嵌入式部署设备或外部 Platform Services Controller 设备上执行该操作的步骤。

1、创建顶级目录以保存新证书并确人该目录的位置。
mkdir newsts
cd newsts
pwd
#resulting output: /root/newst
2、将 certool.cfg 文件复制到新目录中。
cp /usr/lib/vmware-vmca/share/config/certool.cfg /root/newsts
3、打开 certool.cfg 文件的副本并进行编辑，以便使用本地 Platform Services Controller 的 IP 地址和主机名。
国家/地区为必填字段且必须是两个字符，如以下示例所示。
#
# Template file for a CSR request
#

# Country is needed and has to be 2 characters
Country = US
Name = STS
Organization = ExampleInc
OrgUnit = ExampleInc Dev
State = Indiana
Locality = Indianapolis
IPAddress = 10.0.1.32
Email = chen@exampleinc.com
Hostname = homecenter.exampleinc.local
4、生成密钥。
/usr/lib/vmware-vmca/bin/certool --server localhost --genkey --privkey=/root/newsts/sts.key --pubkey=/root/newsts/sts.pub
5、生成证书
/usr/lib/vmware-vmca/bin/certool --gencert --cert=/root/newsts/newsts.cer --privkey=/root/newsts/sts.key --config=/root/newsts/certool.cfg
6、将证书转换为 PK12 格式。
openssl pkcs12 -export -in /root/newsts/newsts.cer -inkey /root/newsts/sts.key -certfile /etc/vmware-sso/keys/ssoserverRoot.crt -name "newstssigning" -passout pass:changeme -out newsts.p12
7、将证书添加到 Java 密钥库 (JKS)。
/usr/java/jre-vmware/bin/keytool -v -importkeystore -srckeystore newsts.p12 -srcstoretype pkcs12 -srcstorepass changeme -srcalias newstssigning -destkeystore root-trust.jks -deststoretype JKS -deststorepass testpassword -destkeypass testpassword

/usr/java/jre-vmware/bin/keytool -v -importcert -keystore root-trust.jks -deststoretype JKS -storepass testpassword -keypass testpassword -file /etc/vmware-sso/keys/ssoserverRoot.crt -alias root-ca
8、出现提示时，键入 Yes 接受证书以将其添加到密钥库。
生效新的STS证书
vCenter Single Sign-On 服务器包含安全令牌服务 (STS)。安全令牌服务是一项发布、验证和续订安全令牌的 Web 服务。现有安全令牌服务证书过期或更改时，您可以从 vSphere Web Client 中手动对其进行刷新。

要获取 SAML 令牌，用户须向安全令牌服务器 (STS) 提供主凭据。主凭据取决于用户类型：
解决方案用户
有效证书
其他用户
vCenter Single Sign-On 标识源中提供的用户名和密码。
STS 将使用主凭据对用户进行身份验证，并构建包含用户属性的 SAML 令牌。STS 服务会使用其 STS 签名证书对 SAML 令牌进行签名，然后将该令牌分配给用户。默认情况下，将由 VMCA 生成 STS 签名证书。

用户具有 SAML 令牌后，该 SAML 令牌可作为该用户的 HTTP 请求的一部分进行发送（可能通过各种代理进行发送）。只有预期接收方（服务提供程序）可以使用 SAML 令牌中的信息。

如果公司策略需要该信息或如果您要更新过期的证书，则可以在 vSphere Web Client 中替换现有 STS 签名证书。
小心： 请勿替换文件系统中的文件。如果替换该文件，则会导致意想不到且难以调试的错误。
注： 替换证书后，必须重新启动节点，以便重新启动 vSphere Web Client 服务和 STS 服务。
过程
1、以 administrator@vsphere.local 或拥有 vCenter Single Sign-On 管理员特权的其他用户的身份登录到 vSphere Web Client。
具有 vCenter Single Sign-On 管理员特权的用户位于 vsphere.local 域的管理员组中。
2、依次选择证书选项卡和 STS 签名子选项卡，然后单击添加 STS 签名证书图标。
3、添加证书。
a\单击浏览浏览到包含新证书的密钥库 JKS 文件，然后单击打开。
b\出现提示时键入密码。
c\单击 STS 别名链的顶部，然后单击确定。
d\出现提示时再次键入密码。
4、单击确定。
5、重新启动 Platform Services Controller 节点，以启动 STS 服务和 vSphere Web Client。
重新启动之前，身份验证无法正常运行，因此必须重新启动。

删除旧的STS证书
1、Identify the LDU ID of the node via one of the below commands:
/usr/lib/vmware-vmafd/bin/vmafd-cli get-ldu --server-name localhost
OR
cat /etc/vmware/install-defaults/vmdir.ldu-guid

2、Connect to vmdir using JXplorer or LDAP Admin Tool

3、Delete the existing STS certificate
Expand Local > vSphere > ComponentManager > Ldus
Expand the ID captured under Step 3
Expand TrustedCertificateChains
Delete TrustedCertChain-1 and TenantCredential-1
Warning: This step interact with VMDIR's database. Take offline snapshots concurrently for all vCenter Servers and Platform Service Controllers in the SSO domain before performing the step.

4、Run this command to update the security token service certificate
/usr/java/jre-vmware/bin/java -cp /opt/vmware/lib64/*:/usr/lib/vmware-sso/commonlib/*:.:* -Dvmware.log.dir=/var/log/vmware/sso/ -XX:ErrorFile=/var/log/vmware/sso/hs_err_stsinstaller_pid%p.log-XX:HeapDumpPath=/var/log/vmware/sso/ com.vmware.identity.installer.STSInstaller --install --root-cert-path /var/lib/vmware/vmca/root.cer --cert-path /root/newsts/newsts.cer --private-key-path /root/newsts/sts.key --retry-count 10 --retry-interval 30 --retain-token-policy

5、Restart all the services on the appliance
service-control --stop --all && service-control --start --all