Carregar o certificado e a chave privada para estabelecer uma conexão confiável de provedor de chave

Alguns fornecedores de servidores de chaves (KMS) exigem que você configure o provedor de chaves confiáveis com o certificado de cliente e a chave privada fornecidos pelo servidor de chaves. Depois de configurar o provedor de chaves confiáveis, o servidor de chaves aceita o tráfego do provedor de chaves confiáveis.

Pré-requisitos

Habilitar o administrador do Trust Authority.
Habilitar o estado da autoridade de confiança.
Colete informações sobre ESXi hosts e vCenter Server para ser confiável.
Importar as informações do host confiável para o cluster do Trust Authority.
Criar o provedor de chave no cluster do Trust Authority.
Solicite um certificado e uma chave privada no formato PEM do fornecedor do servidor de chaves. Se o certificado for retornado em um formato diferente de PEM, converta-o em PEM. Se a chave privada estiver protegida com uma senha, crie um arquivo PEM com a senha removida. Você pode usar o comando openssl para ambas as operações. Por exemplo:
- Para converter um certificado do formato CRT para o PEM:
```
openssl x509 -in clientcert.crt -out clientcert.pem -outform PEM
```
- Para converter um certificado do formato DER para o PEM:
```
openssl x509 -inform DER -in clientcert.der -out clientcert.pem
```
- Para remover a senha de uma chave privada:
```
openssl rsa -in key.pem -out keynopassword.pem
Enter pass phrase for key.pem:
writing RSA key
```

Procedimento

Certifique-se de que você esteja conectado ao vCenter Server do cluster do Trust Authority. Por exemplo, você pode inserir $global:defaultviservers para mostrar todos os servidores conectados.

(Opcional) Se necessário, você pode executar os seguintes comandos para garantir que esteja conectado ao vCenter Server do Trust Authority Cluster.

Disconnect-VIServer -server * -Confirm:$false
Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'

Atribua as informações de Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA a uma variável.
Por exemplo:
```
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
```
Se você estiver seguindo essas tarefas em ordem, já atribuiu informações de Get-TrustAuthorityCluster a uma variável (por exemplo, $vTA = Get-TrustAuthorityCluster 'vTA Cluster').
A variável $kp obtém os provedores de chaves confiáveis no Trust Authority Cluster, neste caso, $vTA.
Observação: Se você tiver mais de um provedor de chaves confiáveis, use comandos semelhantes aos seguintes para selecionar o que deseja:
```
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
<The trusted key providers listing is displayed.>
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1
```
Usar Select-Object -Last 1 seleciona o último provedor de chave confiável na lista.

Carregue o certificado e a chave privada usando o comando Set-TrustAuthorityKeyProviderClientCertificate.

Por exemplo:

Set-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -CertificateFilePath <path/to/certfile.pem> -PrivateKeyFilePath <path/to/privatekey.pem>

Resultados

O provedor de chaves confiáveis estabeleceu confiança com o servidor de chaves.