Para estabelecer confiança, o Cluster vSphere Trust Authority requer informações sobre os hosts ESXi e vCenter Server do Cluster Confiável. Você exporta essas informações como arquivos para importação no Cluster do Trust Authority. Você deve garantir a confidencialidade desses arquivos e transportá-los com segurança.
Use os cmdlets vSphere Trust Authority PowerCLI para exportar as seguintes informações como arquivos dos hosts ESXi no Cluster Confiável para o Cluster do Trust Authority para saber em qual software e hardware confiar.
- ESXi versão
- Fabricante do TPM (certificado de CA)
- (Opcional) TPM individual (certificado EK)
Se você tiver hosts do mesmo tipo e fornecedor e fabricados durante o mesmo período e local, poderá confiar em todos os TPMs obtendo o certificado de CA de apenas um dos TPMs. Para confiar em um TPM individual, obtenha o certificado EK do TPM.
Você também deve obter as informações principais do vCenter Server do Cluster Confiável. As informações principais contêm o usuário da solução vpxd e sua cadeia de certificados. As informações principais permitem que o vCenter Server do Cluster Confiável descubra os provedores de chaves confiáveis disponíveis configurados no Cluster do Trust Authority.
Para configurar o vSphere Trust Authority inicialmente, você deve coletar a versão do ESXi e as informações do TPM. Além disso, você deve coletar a versão do ESXi sempre que implantar uma nova versão do ESXi, inclusive quando fizer upgrade ou aplicar um patch.
Você coleta as informações do principal vCenter Server apenas uma vez por sistema vCenter Server.
Pré-requisitos
- Identifique as versões ESXi e os tipos de hardware do TPM que estão no Cluster Confiável e se você deseja confiar em todos os tipos de hardware do TPM, apenas em alguns ou em hosts individuais.
- Na máquina em que você executa os cmdlets PowerCLI, crie uma pasta local para salvar as informações exportadas como arquivos.
- Ativar o Administrador do Trust Authority.
- Ativar o estado do Trust Authority.
Procedimento
Resultados
Os seguintes arquivos são criados:
- Arquivo de certificado de CA do TPM (extensão de arquivo .zip)
- ESXi arquivo de imagem (extensão de arquivo .tgz)
- vCenter Server arquivo principal (extensão de arquivo .json)
Exemplo: Coletando informações sobre hosts ESXi e vCenter Server confiáveis
Este exemplo mostra como usar PowerCLI para exportar as informações do host ESXi e a entidade de segurança vCenter Server. A tabela a seguir mostra os componentes e os valores de exemplo que são usados.
Componente | Valor |
---|---|
ESXi host no cluster confiável | 192.168.110.51 |
vCenter Server para cluster confiável | 192.168.110.22 |
Variável $vmhost |
Get-VMHost |
Variável $tpm2 |
Get-Tpm2EndorsementKey -VMHost $vmhost |
Administrador do Trust Authority | [email protected] |
Diretório local para conter os arquivos de saída | C:\vta |
PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.110.51 -User root -Password 'VMware1!' Name Port User ---- ---- ---- 192.168.110.51 443 root PS C:\Users\Administrator.CORP> Get-VMHost Name ConnectionState PowerState NumCpu CpuUsageMhz CpuTotalMhz MemoryUsageGB MemoryTotalGB Version ---- --------------- ---------- ------ ----------- ----------- ------------- ------------- ------- 192.168.110.51 Connected PoweredOn 4 200 9576 1.614 7.999 7.0.0 PS C:\Users\Administrator.CORP> $vmhost = Get-VMHost PS C:\Users\Administrator.CORP> $tpm2 = Get-Tpm2EndorsementKey -VMHost $vmhost PS C:\> Export-Tpm2CACertificate -Tpm2EndorsementKey $tpm2 -FilePath C:\vta\cacert.zip Mode LastWriteTime Length Name ---- ------------- ------ ---- -a---- 10/8/2019 6:55 PM 1004 cacert.zip PS C:\Users\Administrator.CORP> Export-VMHostImageDb -VMHost $vmhost -FilePath C:\vta\image.tgz Mode LastWriteTime Length Name ---- ------------- ------ ---- -a---- 10/8/2019 11:02 PM 2391 image.tgz PS C:\Users\Administrator.CORP> Disconnect-VIServer -server * -Confirm:$false PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.110.22 -User [email protected] -Password 'VMware1!' Name Port User ---- ---- ---- 192.168.110.22 443 VSPHERE.LOCAL\trustedadmin PS C:\Users\Administrator.CORP> Export-TrustedPrincipal -FilePath C:\vta\principal.json Mode LastWriteTime Length Name ---- ------------- ------ ---- -a---- 10/8/2019 11:14 PM 1873 principal.json
O que Fazer Depois
Continue com Importar as Informações do Host Confiável para o Cluster do Trust Authority.