Criar o provedor de chave no cluster do Trust Authority

Para que o serviço do provedor de chaves se conecte a um provedor de chaves, você deve criar um provedor de chaves confiável e, em seguida, configurar uma configuração de confiança entre o cluster do vSphere Trust Authority e o servidor de chaves (KMS). Para a maioria dos servidores de chave em conformidade com o KMIP, essa configuração envolve a configuração de certificados de cliente e servidor.

O que antes era chamado de KMS Cluster no vSphere 6.7, agora é chamado de provedor de chave no vSphere 7.0. Para obter mais informações sobre os principais provedores, consulte Sobre o serviço de provedor de chaves do vSphere Trust Authority.

Em um ambiente de produção, você pode criar vários provedores de chave. Ao criar vários provedores de chaves, você pode abordar como gerenciar sua implantação com base na organização da empresa, diferentes unidades de negócios ou clientes e assim por diante.

Se você estiver seguindo essas tarefas em ordem, ainda estará conectado ao vCenter Server do cluster vSphere Trust Authority.

Pré-requisitos

Habilitar o administrador do Trust Authority.
Habilitar o estado da autoridade de confiança.
Colete informações sobre ESXi hosts e vCenter Server para ser confiável.
Importar as informações do host confiável para o cluster do Trust Authority.
Crie e ative uma chave no servidor de chaves para ser a chave primária (anteriormente chamada de chave mestre) para o provedor de chaves confiáveis. Essa chave envolve outras chaves e segredos usados por esse provedor de chaves confiável. Consulte a documentação do fornecedor do servidor de chaves para obter mais informações sobre a criação de chaves.

Procedimento

Certifique-se de que você esteja conectado ao vCenter Server do cluster do Trust Authority. Por exemplo, você pode inserir $global:defaultviservers para mostrar todos os servidores conectados.

(Opcional) Se necessário, você pode executar os seguintes comandos para garantir que esteja conectado ao vCenter Server do Trust Authority Cluster.

Disconnect-VIServer -server * -Confirm:$false
Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'

Para criar o provedor de chaves confiáveis, execute o cmdlet New-TrustAuthorityKeyProvider.
Por exemplo, esse comando usa 1 para PrimaryKeyID (anteriormente chamado de MasterKeyID) e o nome clkp. Se você estiver seguindo essas tarefas em ordem, já atribuiu informações de Get-TrustAuthorityCluster a uma variável (por exemplo, $vTA = Get-TrustAuthorityCluster 'vTA Cluster').
```
New-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA -PrimaryKeyId 1 -Name clkp -KmipServerAddress ip_address
```
O PrimaryKeyID é normalmente um ID de chave que vem do servidor de chaves na forma de um UUID. Não use o nome da chave para PrimaryKeyID. O valor PrimaryKeyID depende do fornecedor. Consulte a documentação do servidor principal. O cmdlet New-TrustAuthorityKeyProvider pode ter outras opções, como KmipServerPort, ProxyAddress e ProxyPort. Consulte o sistema de Ajuda do New-TrustAuthorityKeyProvider para obter mais informações.
Cada provedor de chave lógica, independentemente do seu tipo (Padrão, Confiável e Provedor de Chave Nativa), deve ter um nome exclusivo em todos os vCenter Server sistemas.

Para obter mais informações, consulte Nomenclatura do provedor de chave.

Observação: Para adicionar vários servidores de chaves ao provedor de chaves, use o cmdlet Add-TrustAuthorityKeyProviderServer.

As principais informações do provedor são exibidas.

Estabeleça a conexão confiável para que o servidor de chaves confie no provedor de chaves confiáveis. O processo exato depende dos certificados que o servidor de chaves aceita e da política da sua empresa. Selecione a opção apropriada para o seu servidor e conclua as etapas.

Opção	Consulte
Carregar certificado de cliente	Carregar o certificado do cliente para estabelecer uma conexão confiável do provedor de chave.
Carregar certificado KMS e chave privada	Carregar o certificado e a chave privada para estabelecer uma conexão confiável de provedor de chave.
Solicitação de assinatura de novo certificado	Criar uma solicitação de assinatura de certificado para estabelecer uma conexão confiável de provedor de chave.

Conclua a configuração de confiança carregando um certificado de servidor de chaves para que o provedor de chaves confiáveis confie no servidor de chaves.
1. Atribua as informações de Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA a uma variável.
  Por exemplo:
```
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
```
  Essa variável obtém os provedores de chaves confiáveis no Trust Authority Cluster, neste caso, $vTA.
  
  Observação: Se você tiver mais de um provedor de chaves confiáveis, use comandos semelhantes aos seguintes para selecionar o que deseja:
```
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
<The trusted key providers listing is displayed.>
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1
```
  Usar Select-Object -Last 1 seleciona o último provedor de chave confiável na lista.
2. Para obter o certificado do servidor de chaves, execute o comando Get-TrustAuthorityKeyProviderServerCertificate.
  Por exemplo:
```
Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers
```
  As informações do certificado do servidor são exibidas. Inicialmente, o certificado não é confiável e, portanto, o estado Confiável é Falso. Se você tiver mais de um servidor de chaves configurado, uma lista de certificados será retornada. Verifique e adicione cada certificado usando as seguintes instruções.
3. Antes de confiar no certificado, atribua informações de Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers a uma variável (por exemplo, cert), execute o comando $cert.Certificate.ToString() e verifique a saída.
  Por exemplo:
```
$cert = Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers
$cert.Certificate.ToString()
```
  As informações do certificado são exibidas, incluindo Assunto, Emissor e outras informações.
4. Para adicionar o certificado do servidor KMIP ao provedor de chaves confiáveis, execute Add-TrustAuthorityKeyProviderServerCertificate.
  Por exemplo:
```
Add-TrustAuthorityKeyProviderServerCertificate -ServerCertificate $cert
```
  As informações do certificado são exibidas e o estado Confiável agora é Verdadeiro.
Verifique o status do provedor de chaves.
1. Para atualizar o status do provedor de chaves, reatribua a variável $kp.
  Por exemplo:
```
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
```
  Observação: Se você tiver mais de um provedor de chaves confiáveis, use comandos semelhantes aos seguintes para selecionar o que deseja:
```
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
<The trusted key providers listing is displayed.>
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1
```
  Usar Select-Object -Last 1 seleciona o último provedor de chave confiável na lista.
2. Execute o comando $kp.Status para obter o status do provedor de chaves.
  Por exemplo:
```
$kp.Status
```
  Observação: O status pode levar alguns minutos para ser atualizado. Para exibir o status, reatribua a variável $kp e execute novamente o comando $kp.Status.
Um status de integridade de Ok indica que o provedor de chave está sendo executado corretamente.

Resultados

O provedor de chaves confiável é criado e estabeleceu confiança com o servidor de chaves.

Exemplo: Criar o provedor de chave no cluster do Trust Authority

Este exemplo mostra como usar o PowerCLI para criar o provedor de chave confiável no Trust Authority Cluster. Ele pressupõe que você esteja conectado ao vCenter Server do cluster do Trust Authority como o administrador do Trust Authority. A tabela a seguir mostra os componentes e valores de exemplo que são usados.

Tabela 1. Exemplo de configuração de vSphere Trust Authority
Componente	Valor
Variável `$vTA`	Get-TrustAuthorityCluster 'vTA Cluster'
Variável `$kp`	Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
Variável `$cert`	Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers
vCenter Server para Trust Authority Cluster	192.168.210.22
Servidor de chave em conformidade com o KMIP	192.168.110.91
Usuário de servidor de chave em conformidade com o KMIP	vcqekmip
Nome do cluster de autoridade de confiança	Cluster vTA
Administrador do Trust Authority	[email protected]

PS C:\Users\Administrator.CORP> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!'

PS C:\Users\Administrator.CORP> New-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA -PrimaryKeyId 8 -Name clkp -KmipServerAddress 192.168.110.91
Name                 PrimaryKeyId         Type       TrustAuthorityClusterId
----                 ------------         ----       -----------------------
clkp                 8                    KMIP       TrustAuthorityCluster-domain-c8

<Establish a trusted connection between the key provider and the key server.>

PS C:\Users\Administrator.CORP> $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
PS C:\Users\Administrator.CORP> Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers

Certificate                              Trusted    KeyProviderServerId       KeyProviderId
-----------                              -------    -------------------       -------------
[Subject]...                             False      domain-c8-clkp:192.16.... domain-c8-clkp

PS C:\WINDOWS\system32> $cert.Certificate.ToString()
[Subject]
  E=<domain>, CN=<IP address>, OU=VMware Engineering, O=VMware, L=Palo Alto, S=California, C=US

[Issuer]
  O=<host>.eng.vmware.com, C=US, DC=local, DC=vsphere, CN=CA

[Serial Number]
  00CEF192BBF9D80C9F

[Not Before]
  8/10/2015 4:16:12 PM

[Not After]
  8/9/2020 4:16:12 PM

[Thumbprint]
  C44068C124C057A3D07F51DCF18720E963604B70

PS C:\Users\Administrator.CORP> $cert = Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers
PS C:\Users\Administrator.CORP> Add-TrustAuthorityKeyProviderServerCertificate -ServerCertificate $cert

Certificate                              Trusted    KeyProviderServerId       KeyProviderId
-----------                              -------    -------------------       -------------
[Subject]...                             True                                 domain-c8-clkp

PS C:\Users\Administrator.CORP> $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
PS C:\Users\Administrator.CORP> $kp.Status

KeyProviderId Health HealthDetails ServerStatus
------------- ------ ------------- ------------
domain-c8-kp4     Ok {}            {192.168.210.22}

O que Fazer Depois

Continue com Exportar as informações do cluster do Trust Authority.