Alguns fornecedores de servidor de chaves (KMS) exigem que você gere uma Solicitação de Assinatura de Certificado (CSR) e envie essa CSR para o fornecedor de servidor de chaves. O fornecedor do servidor de chaves assina a CSR e retorna o certificado assinado. Depois de configurar esse certificado assinado como o certificado de cliente do provedor de chaves confiável, o servidor de chaves aceitará o tráfego proveniente do provedor de chaves confiável.
Essa tarefa é um processo de duas etapas. Primeiro, você gera o CSR e o envia ao fornecedor do servidor principal. Em seguida, carregue o certificado assinado recebido do fornecedor do servidor de chaves.
Procedimento
- Assegure-se de estar conectado ao vCenter Server do Cluster do Trust Authority. Por exemplo, você pode digitar $global:defaultviservers para mostrar todos os servidores conectados.
- (Opcional) Se necessário, você pode executar os seguintes comandos para garantir que esteja conectado ao vCenter Server do Cluster do Trust Authority.
Disconnect-VIServer -server * -Confirm:$false
Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
- Atribua as informações de
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
a uma variável.
Por exemplo:
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
Se estiver seguindo essas tarefas na ordem, você atribuiu anteriormente informações de Get-TrustAuthorityCluster a uma variável (por exemplo, $vTA = Get-TrustAuthorityCluster 'vTA Cluster'
).
Essa variável obtém os provedores de chaves confiáveis no Cluster do Trust Authority determinado, neste caso,
$vTA
.
Observação: Se você tiver mais de um provedor de chaves confiável, use comandos semelhantes aos seguintes para selecionar aquele desejado:
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
<The trusted key providers listing is displayed.>
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1
O uso de Select-Object -Last 1
seleciona o último provedor de chaves confiável na lista.
- Para gerar uma CSR, use o cmdlet New-TrustAuthorityKeyProviderClientCertificateCSR.
Por exemplo:
New-TrustAuthorityKeyProviderClientCertificateCSR -KeyProvider $kp
O CSR é exibido. Você também pode usar o cmdlet
Get-TrustAuthorityKeyProviderClientCertificateCSR -KeyProvider $kp para obter a CSR.
- Para obter um certificado assinado, envie a CSR para o fornecedor do servidor de chaves.
O certificado deve estar no formato PEM. Se o certificado for retornado em um formato diferente do PEM, converta-o em PEM usando o comando
openssl. Por exemplo:
- Ao receber o certificado assinado do fornecedor do servidor de chaves, carregue o certificado no servidor de chaves usando o cmdlet Set-TrustAuthorityKeyProviderClientCertificate.
Por exemplo:
Set-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -CertificateFilePath <path/tp/certfile.pem>
Resultados
O provedor de chaves confiável estabeleceu confiança com o servidor de chaves.