Alguns fornecedores de servidor de chaves (KMS) exigem que você gere uma Solicitação de Assinatura de Certificado (CSR) e envie essa CSR para o fornecedor de servidor de chaves. O fornecedor do servidor de chaves assina a CSR e retorna o certificado assinado. Depois de configurar esse certificado assinado como o certificado de cliente do provedor de chaves confiável, o servidor de chaves aceitará o tráfego proveniente do provedor de chaves confiável.

Essa tarefa é um processo de duas etapas. Primeiro, você gera o CSR e o envia ao fornecedor do servidor principal. Em seguida, carregue o certificado assinado recebido do fornecedor do servidor de chaves.

Pré-requisitos

Procedimento

  1. Assegure-se de estar conectado ao vCenter Server do Cluster do Trust Authority. Por exemplo, você pode digitar $global:defaultviservers para mostrar todos os servidores conectados.
  2. (Opcional) Se necessário, você pode executar os seguintes comandos para garantir que esteja conectado ao vCenter Server do Cluster do Trust Authority.
    Disconnect-VIServer -server * -Confirm:$false
    Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
  3. Atribua as informações de Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA a uma variável.
    Por exemplo:
    $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA

    Se estiver seguindo essas tarefas na ordem, você atribuiu anteriormente informações de Get-TrustAuthorityCluster a uma variável (por exemplo, $vTA = Get-TrustAuthorityCluster 'vTA Cluster').

    Essa variável obtém os provedores de chaves confiáveis no Cluster do Trust Authority determinado, neste caso, $vTA.
    Observação: Se você tiver mais de um provedor de chaves confiável, use comandos semelhantes aos seguintes para selecionar aquele desejado:
    Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
    <The trusted key providers listing is displayed.>
    $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1

    O uso de Select-Object -Last 1 seleciona o último provedor de chaves confiável na lista.

  4. Para gerar uma CSR, use o cmdlet New-TrustAuthorityKeyProviderClientCertificateCSR.
    Por exemplo:
    New-TrustAuthorityKeyProviderClientCertificateCSR -KeyProvider $kp
    O CSR é exibido. Você também pode usar o cmdlet Get-TrustAuthorityKeyProviderClientCertificateCSR -KeyProvider $kp para obter a CSR.
  5. Para obter um certificado assinado, envie a CSR para o fornecedor do servidor de chaves.
    O certificado deve estar no formato PEM. Se o certificado for retornado em um formato diferente do PEM, converta-o em PEM usando o comando openssl. Por exemplo:
    • Para converter um certificado do formato CRT para PEM:
      openssl x509 -in clientcert.crt -out clientcert.pem -outform PEM
    • Para converter um certificado do formato DER para PEM:
      openssl x509 -inform DER -in clientcert.der -out clientcert.pem
  6. Ao receber o certificado assinado do fornecedor do servidor de chaves, carregue o certificado no servidor de chaves usando o cmdlet Set-TrustAuthorityKeyProviderClientCertificate.
    Por exemplo:
    Set-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -CertificateFilePath <path/tp/certfile.pem>

Resultados

O provedor de chaves confiável estabeleceu confiança com o servidor de chaves.