Colete informações sobre ESXi hosts e vCenter Server para ser confiável

Para estabelecer a confiança, o vSphere Trust Authority Cluster requer informações sobre os hosts ESXi e vCenter Server do Cluster Confiável. Você exporta essas informações como arquivos para importação no Trust Authority Cluster. Você deve manter esses arquivos confidenciais e transportá-los com segurança.

Use os cmdlets do vSphere Trust Authority PowerCLI para exportar as seguintes informações como arquivos dos hosts do ESXi no Trusted Cluster para o Trust Authority Cluster para saber em qual software e hardware confiar.

Versão ESXi
Fabricante TPM (certificado CA)
(Opcional) TPM individual (certificado EK)

Observação: Armazene esses arquivos exportados em um local seguro, caso você precise restaurar a configuração do vSphere Trust Authority.

Se você tiver hosts do mesmo tipo e fornecedor, e fabricados durante o mesmo período e local, poderá confiar em todos os TPMs obtendo o certificado de CA de apenas um dos TPMs. Para confiar em um TPM individual, você obtém o certificado EK do TPM.

Você também deve obter as informações principais do vCenter Server do cluster confiável. As informações principais contêm o usuário da solução vpxd e sua cadeia de certificados. As informações principais permitem que o vCenter Server do Trusted Cluster descubra os provedores de chaves confiáveis disponíveis configurados no Trust Authority Cluster.

Para configurar o vSphere Trust Authority inicialmente, você deve coletar a versão do ESXi e as informações de TPM. Além disso, você deve coletar a versão do ESXi toda vez que implantar uma nova versão do ESXi, inclusive ao atualizar ou aplicar um patch.

Você coleta as informações principais do vCenter Server apenas uma vez por vCenter Server sistema.

Pré-requisitos

Identifique as versões do ESXi e os tipos de hardware TPM que estão no cluster confiável e se você deseja confiar em todos os tipos de hardware TPM, apenas alguns ou hosts individuais.
Na máquina da qual você executa os cmdlets do PowerCLI, crie uma pasta local na qual salvar as informações exportadas como arquivos.
Habilitar o administrador do Trust Authority.
Habilitar o estado da autoridade de confiança.

Procedimento

Em uma sessão do PowerCLI, execute os seguintes comandos para desconectar qualquer conexão atual e conectar-se como o usuário raiz a um dos hosts ESXi no cluster confiável.
```
Disconnect-VIServer -server * -Confirm:$false
Connect-VIServer -server host_ip_address -User root -Password 'password'
```
Execute o cmdlet Get-VMHost para confirmar o host ESXi.
```
Get-VMHost
```
As informações do host são exibidas.
Atribua Get-VMHost a uma variável.
Por exemplo:
```
$vmhost = Get-VMHost
```
Execute o cmdlet Export-Tpm2CACertificate para exportar o certificado da autoridade de certificação de um determinado fabricante do TPM.
1. Atribua Get-Tpm2EndorsementKey -VMHost $vmhost a uma variável.
  Por exemplo, este comando atribui Get-Tpm2EndorsementKey -VMHost $vmhost à variável $tpm2.
```
$tpm2 = Get-Tpm2EndorsementKey -VMHost $vmhost
```
2. Execute o cmdlet Export-Tpm2CACertificate.
  Por exemplo, esse comando exporta o certificado TPM para o arquivo cacert.zip . Certifique-se de que o diretório de destino exista antes de executar este comando.
```
Export-Tpm2CACertificate -Tpm2EndorsementKey $tpm2 -FilePath C:\vta\cacert.zip
```
  O arquivo é criado.
3. Repita para cada tipo de hardware TPM no cluster que você deseja confiar. Use um nome de arquivo diferente para cada tipo de hardware TMP para que você não substitua um arquivo exportado anteriormente.
Execute o cmdlet Export-VMHostImageDb para exportar a descrição do host ESXi do software (a imagem ESXi).
Por exemplo, este comando exporta as informações para o arquivo image.tgz . Certifique-se de que o diretório de destino exista antes de executar este comando.
```
Export-VMHostImageDb -VMHost $vmhost -FilePath C:\vta\image.tgz
```
Observação: O cmdlet Export-VMHostImageDb também funciona se você preferir fazer login no vCenter Server do cluster confiável.

O arquivo é criado.
Repita para cada versão do ESXi no cluster que você deseja confiar. Use um nome de arquivo diferente para cada versão para que você não substitua um arquivo exportado anteriormente.
Exporte as informações principais do vCenter Server Cluster Confiável.
1. Desconecte-se do host ESXi.
```
Disconnect-VIServer -server * -Confirm:$false
```
2. Conecte-se ao vCenter Server do Cluster Confiável usando o usuário administrador do Trust Authority. (Como alternativa, você pode usar um usuário que tenha privilégios de Administrador .)
```
Connect-VIServer -server TrustedCluster_VC_ip_address -User trust_admin_user -Password 'password'
```
3. Para exportar as informações da entidade de segurança do vCenter Server cluster confiável, execute o cmdlet Export-TrustedPrincipal.
  Por exemplo, este comando exporta as informações para o arquivo principal.json . Certifique-se de que o diretório de destino exista antes de executar este comando.
```
Export-TrustedPrincipal -FilePath C:\vta\principal.json
```
  O arquivo é criado.
(Opcional) Se você quiser confiar em um host individual, deverá exportar o certificado de chave pública EK do TPM.
Consulte o Exportar e importar um certificado de chave de endosso do TPM.

Resultados

Os seguintes arquivos são criados:

Arquivo de certificado de CA do TPM (extensão de arquivo .zip)
ESXi arquivo de imagem (extensão de arquivo .tgz)
vCenter Server arquivo principal (extensão de arquivo .json)

Exemplo: Coletando informações sobre ESXi hosts e vCenter Server para serem confiáveis

Este exemplo mostra como usar o PowerCLI para exportar as informações do host do ESXi e o principal do vCenter Server. A tabela a seguir mostra os componentes e valores de exemplo que são usados.

Tabela 1. Exemplo de configuração de vSphere Trust Authority
Componente	Valor
Host ESXi no cluster confiável	192.168.110.51
vCenter Server para cluster confiável	192.168.110.22
Variável `$vmhost`	Get-VMHost
Variável `$tpm2`	Get-Tpm2EndorsementKey -VMHost $vmhost
Administrador do Trust Authority	[email protected]
Diretório local para conter os arquivos de saída	C: \ vta

PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.110.51 -User root -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.110.51                  443  root

PS C:\Users\Administrator.CORP> Get-VMHost

Name               ConnectionState PowerState NumCpu CpuUsageMhz CpuTotalMhz MemoryUsageGB MemoryTotalGB Version
----               --------------- ---------- ------ ----------- ----------- ------------- ------------- -------
192.168.110.51     Connected       PoweredOn       4         200        9576         1.614         7.999   7.0.0

PS C:\Users\Administrator.CORP> $vmhost = Get-VMHost
PS C:\Users\Administrator.CORP> $tpm2 = Get-Tpm2EndorsementKey -VMHost $vmhost
PS C:\> Export-Tpm2CACertificate -Tpm2EndorsementKey $tpm2 -FilePath C:\vta\cacert.zip

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----        10/8/2019   6:55 PM           1004 cacert.zip

PS C:\Users\Administrator.CORP> Export-VMHostImageDb -VMHost $vmhost -FilePath C:\vta\image.tgz

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----         10/8/2019  11:02 PM          2391 image.tgz

PS C:\Users\Administrator.CORP> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.110.22 -User [email protected] -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.110.22                  443  VSPHERE.LOCAL\trustedadmin

PS C:\Users\Administrator.CORP> Export-TrustedPrincipal -FilePath C:\vta\principal.json

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----         10/8/2019  11:14 PM           1873 principal.json

O que Fazer Depois

Continue com Importar as informações do host confiável para o cluster do Trust Authority.