Para estabelecer confiança, o Cluster vSphere Trust Authority requer informações sobre os hosts ESXi e vCenter Server do Cluster Confiável. Você exporta essas informações como arquivos para importação no Cluster do Trust Authority. Você deve garantir a confidencialidade desses arquivos e transportá-los com segurança.

Use os cmdlets vSphere Trust Authority PowerCLI para exportar as seguintes informações como arquivos dos hosts ESXi no Cluster Confiável para o Cluster do Trust Authority para saber em qual software e hardware confiar.

  • ESXi versão
  • Fabricante do TPM (certificado de CA)
  • (Opcional) TPM individual (certificado EK)
Observação: Armazene esses arquivos exportados em um local seguro, caso você precise restaurar a configuração do vSphere Trust Authority.

Se você tiver hosts do mesmo tipo e fornecedor e fabricados durante o mesmo período e local, poderá confiar em todos os TPMs obtendo o certificado de CA de apenas um dos TPMs. Para confiar em um TPM individual, obtenha o certificado EK do TPM.

Você também deve obter as informações principais do vCenter Server do Cluster Confiável. As informações principais contêm o usuário da solução vpxd e sua cadeia de certificados. As informações principais permitem que o vCenter Server do Cluster Confiável descubra os provedores de chaves confiáveis disponíveis configurados no Cluster do Trust Authority.

Para configurar o vSphere Trust Authority inicialmente, você deve coletar a versão do ESXi e as informações do TPM. Além disso, você deve coletar a versão do ESXi sempre que implantar uma nova versão do ESXi, inclusive quando fizer upgrade ou aplicar um patch.

Você coleta as informações do principal vCenter Server apenas uma vez por sistema vCenter Server.

Pré-requisitos

  • Identifique as versões ESXi e os tipos de hardware do TPM que estão no Cluster Confiável e se você deseja confiar em todos os tipos de hardware do TPM, apenas em alguns ou em hosts individuais.
  • Na máquina em que você executa os cmdlets PowerCLI, crie uma pasta local para salvar as informações exportadas como arquivos.
  • Ativar o Administrador do Trust Authority.
  • Ativar o estado do Trust Authority.

Procedimento

  1. Em uma sessão PowerCLI, execute os seguintes comandos para desconectar qualquer conexão atual e conectar-se como usuário raiz a um dos hosts ESXi no Cluster Confiável.
    Disconnect-VIServer -server * -Confirm:$false
    Connect-VIServer -server host_ip_address -User root -Password 'password'
  2. Execute o cmdlet Get-VMHost para confirmar o host ESXi.
    Get-VMHost
    As informações do host são exibidas.
  3. Atribua Get-VMHost a uma variável.
    Por exemplo:
    $vmhost = Get-VMHost
  4. Execute o cmdlet Export-Tpm2CACertificate para exportar o certificado de CA de um determinado fabricante de TPM.
    1. Atribua Get-Tpm2EndorsementKey -VMHost $vmhost a uma variável.
      Por exemplo, esse comando atribui Get-Tpm2EndorsementKey -VMHost $vmhost à variável $tpm2.
      $tpm2 = Get-Tpm2EndorsementKey -VMHost $vmhost
    2. Execute o cmdlet Export-Tpm2CACertificate.
      Por exemplo, esse comando exporta o certificado TPM para o arquivo cacert.zip. Certifique-se de que o diretório de destino exista antes de executar este comando.
      Export-Tpm2CACertificate -Tpm2EndorsementKey $tpm2 -FilePath C:\vta\cacert.zip
      O arquivo é criado.
    3. Repita o procedimento para cada tipo de hardware do TPM no cluster no qual você deseja confiar. Use um nome de arquivo diferente para cada tipo de hardware TMP para não substituir um arquivo exportado anteriormente.
  5. Execute o cmdlet Export-VMHostImageDb para exportar a descrição do host ESXi do software (a imagem ESXi).
    Por exemplo, esse comando exporta as informações para o arquivo image.tgz. Certifique-se de que o diretório de destino exista antes de executar este comando.
    Export-VMHostImageDb -VMHost $vmhost -FilePath C:\vta\image.tgz
    Observação: O cmdlet Export-VMHostImageDb também funcionará se você preferir fazer login no vCenter Server do Cluster Confiável.
    O arquivo é criado.

    Repita para cada versão ESXi no cluster em que você deseja confiar. Use um nome de arquivo diferente para cada versão para que você não substitua um arquivo exportado anteriormente.

  6. Exporte as informações principais do vCenter Server do Cluster Confiável.
    1. Desconecte-se do host ESXi.
      Disconnect-VIServer -server * -Confirm:$false
    2. Conecte-se ao vCenter Server do Cluster Confiável usando o usuário administrador do Trust Authority. (Como alternativa, você pode usar um usuário que tenha privilégios de Administrador.)
      Connect-VIServer -server TrustedCluster_VC_ip_address -User trust_admin_user -Password 'password'
    3. Para exportar as informações principais do vCenter Server do Cluster Confiável, execute o cmdlet Export-TrustedPrincipal.
      Por exemplo, esse comando exporta as informações para o arquivo principal.json. Certifique-se de que o diretório de destino exista antes de executar este comando.
      Export-TrustedPrincipal -FilePath C:\vta\principal.json
      O arquivo é criado.
  7. (Opcional) Se você quiser confiar em um host individual, deverá exportar o certificado de chave pública do TPM EK.

Resultados

Os seguintes arquivos são criados:

  • Arquivo de certificado de CA do TPM (extensão de arquivo .zip)
  • ESXi arquivo de imagem (extensão de arquivo .tgz)
  • vCenter Server arquivo principal (extensão de arquivo .json)

Exemplo: Coletando informações sobre hosts ESXi e vCenter Server confiáveis

Este exemplo mostra como usar PowerCLI para exportar as informações do host ESXi e a entidade de segurança vCenter Server. A tabela a seguir mostra os componentes e os valores de exemplo que são usados.

Tabela 1. Exemplo de configuração do vSphere Trust Authority
Componente Valor
ESXi host no cluster confiável 192.168.110.51
vCenter Server para cluster confiável 192.168.110.22
Variável $vmhost Get-VMHost
Variável $tpm2 Get-Tpm2EndorsementKey -VMHost $vmhost
Administrador do Trust Authority [email protected]
Diretório local para conter os arquivos de saída C:\vta
PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.110.51 -User root -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.110.51                  443  root

PS C:\Users\Administrator.CORP> Get-VMHost

Name               ConnectionState PowerState NumCpu CpuUsageMhz CpuTotalMhz MemoryUsageGB MemoryTotalGB Version
----               --------------- ---------- ------ ----------- ----------- ------------- ------------- -------
192.168.110.51     Connected       PoweredOn       4         200        9576         1.614         7.999   7.0.0

PS C:\Users\Administrator.CORP> $vmhost = Get-VMHost
PS C:\Users\Administrator.CORP> $tpm2 = Get-Tpm2EndorsementKey -VMHost $vmhost
PS C:\> Export-Tpm2CACertificate -Tpm2EndorsementKey $tpm2 -FilePath C:\vta\cacert.zip

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----        10/8/2019   6:55 PM           1004 cacert.zip

PS C:\Users\Administrator.CORP> Export-VMHostImageDb -VMHost $vmhost -FilePath C:\vta\image.tgz

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----         10/8/2019  11:02 PM          2391 image.tgz

PS C:\Users\Administrator.CORP> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.110.22 -User [email protected] -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.110.22                  443  VSPHERE.LOCAL\trustedadmin

PS C:\Users\Administrator.CORP> Export-TrustedPrincipal -FilePath C:\vta\principal.json

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----         10/8/2019  11:14 PM           1873 principal.json

O que Fazer Depois

Continue com Importar as Informações do Host Confiável para o Cluster do Trust Authority.