Mise en place certificat SSO

 

Ici, nous allons mettre en place le certificat SSO de façon « manuel », c’est à dire sans utiliser l’outil vCenter Certificate Automation Tool 5.5 

Loguez-vous sur le serveur avec un compte administrateur. Ouvrez une invite de commande DOS et tapez les commandes suivantes pour préparer l’environnement :

C:\>SET JAVA_HOME=C:\Program Files\Common Files\VMware\VMware vCenter Server – Java Components

C:\>SET PATH=%PATH%;C:\Program Files\VMware\Infrastructure\VMware\CIS\vmware-sso;%JAVA_HOME%\bin

Vérifiez que le dossier C:\Program Data\VMware\SSL contient un fichier ca_certificates.crt et un fichier hash 8_characters.0 :

 

ssl28

 

Sauvegarder le dossier en SSL_old.

Enregistrez le certificat CA dans le VMware Trust Store en tapant les commandes suivantes :

C:\OpenSSL-Win32\bin> openssl x509 -noout -subject_hash -in C:\certs\Root64.cer

 

ssl29

 

Une valeur hexadécimale est renvoyé :

 

ssl30

 

Notez cette valeur.

Créer un nouveau dossier nommé SSL dans C:\Program Data\VMware\ et tapez la commande suivante dans une invite de commande DOS :

C:\> copy C:\certs\Root64.cer C:\ProgramData\VMware\SSL\hash.0

En remplaçant hash.0 par le numéro récupéré de la commande précédente. Pour nous le numéro 2162f32d :

 

ssl31

 

Tapez ensuite la commande suivante :

C:\> more C:\certs\Root64.cer >> C:\ProgramData\VMware\SSL\ca_certificates.crt

 

ssl32

 

Utiliser un éditeur de texte et créer 3 fichiers que vous sauvegardez dans c:\certs :

fichier « gc.properties »

  • gc.properties: [service]
    friendlyName=The group check interface of the SSO server
    version=1.5
    ownerId=
    productId=product:sso
    type=urn:sso:groupcheck
    description=The group check interface of the SSO server [endpoint0]
    uri=https://SSOserver.domain.com:7444/sso-adminserver/sdk/vsphere.local
    ssl=c:\certs\Root64.cer
    protocol=vmomi

 

fichier « admin.properties »

  • admin.properties: [service]
    friendlyName=The administrative interface of the SSO server
    version=1.5
    ownerId=
    productId=product:sso
    type=urn:sso:admin
    description=The administrative interface of the SSO server [endpoint0]
    uri=https://SSOServer.domain.com:7444/sso-adminserver/sdk/vsphere.local
    ssl=c:\certs\Root64.cer
    protocol=vmomi

 

fichier « stp.properties »

  • sts.properties: [service]
    friendlyName=STS for Single Sign On
    version=1.5
    ownerId=
    productId=product:sso
    type=urn:sso:sts
    description=The Security Token Service of the Single Sign On server. [endpoint0]
    uri=https://SSOserver.domain.com:7444/sts/STSService/vsphere.local
    ssl=c:\certs\Root64.cer
    protocol=wsTrust

Remplacer ce qui est en rouge par les bonnes valeurs :

 

ssl33

 

Lancez ensuite la commande suivante qui va lister les services du serveur :

C:\Program Files\VMware\Infrastructure\VMware\CIS\vmware-sso>ssolscli.cmd listServices https://FQDNSSO:7444/lookupservice/sdk

Vous devez avoir un résultat comme ci-dessous avec une liste de service :

 

ssl34

 

 

Localisez les 3 services SSO identifiés par les types « urn :sso :groupcheck », « urn :sso :admin » et « urn :sso :sts »

Pour nous ça donne, pour SSO Services :

 

ssl35

 

Pour SSO Admin :

 

ssl36

 

Pour Security Token Service :

 

ssl37

 

Notez la valeur du paramètre « viSite », dans notre exemple : LABO-BEID

Utilisez la valeur viSite et tapez les commandes suivantes pour récupérer les id dans des fichiers :

echo <Site Name>:IDService > c:\certs\gc_id
echo <Site Name>:IDService > c:\certs\admin_id
echo <Site Name>:IDService > c:\certs\sts_id

ssl38

 

Updater les 3 services en commençant par le service GroupCheck en tapant les commandes suivantes :

ssolscli updateService -d https://ssoserver.domain.com:7444/lookupservice/sdk -u administrator@vsphere.local -p SSO_administrator_password -si c:\certs\gc_id -ip c:\certs\gc.properties

 

ssl39

 

c:\> ssolscli updateService -d https://ssoserver.domain.com:7444/lookupservice/sdk -u administrator@vsphere.local -p SSO_administrator_password -si c:\certs\admin_id -ip c:\certs\admin.properties

 

ssl40

 

c:\> ssolscli updateService -d https://ssoserver.domain.com:7444/lookupservice/sdk -u administrator@vsphere.local -p SSO_administrator_password -si c:\certs\sts_id -ip c:\certs\sts.properties

 

ssl41

 

Allez ensuite dans le dossier C:\ProgramData\VMware\CIS\runtime\VMwareSTS\conf

Sauvegarder les fichiers ssoserver.p12, ssoserver.key et ssoserver.crt dans un autre dossier et remplacez-les par les nouveaux :

 

ssl42

 

Pour que les changements prennent effets, redémarrer le service VMware Secure Token Service :

 

ssl43

 

Le certificat SSO est maintenant remplacé. Nous pouvons passer au certificat Inventory Service.

 

 

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url=""> 


*