Alguns fornecedores de servidor de chave (KMS) exigem que você gere uma solicitação de assinatura de certificado (CSR) e envie essa CSR para o fornecedor do servidor de chave. O fornecedor do servidor de chaves assina o CSR e retorna o certificado assinado. Depois de configurar esse certificado assinado como o certificado de cliente do provedor de chaves confiáveis, o servidor de chaves aceita o tráfego proveniente do provedor de chaves confiáveis.

Essa tarefa é um processo de duas etapas. Primeiro, você gera a CSR e a envia ao fornecedor do servidor de chaves. Em seguida, você carrega o certificado assinado que recebe do fornecedor do servidor de chaves.

Pré-requisitos

Procedimento

  1. Certifique-se de que você esteja conectado ao vCenter Server do cluster do Trust Authority. Por exemplo, você pode inserir $global:defaultviservers para mostrar todos os servidores conectados.
  2. (Opcional) Se necessário, você pode executar os seguintes comandos para garantir que esteja conectado ao vCenter Server do Trust Authority Cluster. 
    Disconnect-VIServer -server * -Confirm:$false
Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
  3. Atribua as informações de Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA a uma variável.
    Por exemplo: 
    $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA

    Se você estiver seguindo essas tarefas em ordem, já atribuiu informações de Get-TrustAuthorityCluster a uma variável (por exemplo, $vTA = Get-TrustAuthorityCluster 'vTA Cluster').

    Essa variável obtém os provedores de chaves confiáveis no Trust Authority Cluster, neste caso, $vTA.
    Observação: Se você tiver mais de um provedor de chaves confiáveis, use comandos semelhantes aos seguintes para selecionar o que deseja: 
    Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
<The trusted key providers listing is displayed.>
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1

    Usar Select-Object -Last 1 seleciona o último provedor de chave confiável na lista.

  4. Para gerar um CSR, use o cmdlet New-TrustAuthorityKeyProviderClientCertificateCSR.
    Por exemplo: 
    New-TrustAuthorityKeyProviderClientCertificateCSR -KeyProvider $kp
    O CSR é exibido. Você também pode usar o cmdlet Get-TrustAuthorityKeyProviderClientCertificateCSR -KeyProvider $kp para obter o CSR.
  5. Para obter um certificado assinado, envie a CSR ao fornecedor do servidor de chaves.
    O certificado deve estar no formato PEM. Se o certificado for retornado em um formato diferente de PEM, converta-o em PEM usando o comando openssl. Por exemplo:
    • Para converter um certificado do formato CRT para o PEM:
      openssl x509 -in clientcert.crt -out clientcert.pem -outform PEM
    • Para converter um certificado do formato DER para o PEM:
      openssl x509 -inform DER -in clientcert.der -out clientcert.pem
  6. Quando você receber o certificado assinado do fornecedor do servidor de chaves, carregue o certificado no servidor de chaves usando o cmdlet Set-TrustAuthorityKeyProviderClientCertificate.
    Por exemplo: 
    Set-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -CertificateFilePath <path/tp/certfile.pem>

Resultados

O provedor de chaves confiáveis estabeleceu confiança com o servidor de chaves.