Para que o Serviço de Provedor de Chaves se conecte a um provedor de chaves, você deve criar um provedor de chaves confiável e, em seguida, configurar uma configuração de confiança entre o Cluster vSphere Trust Authority e o servidor de chaves (KMS). Para a maioria dos servidores de chaves compatíveis com KMIP, essa configuração envolve a configuração de certificados de cliente e servidor.
O que antes era chamado de Cluster KMS no vSphere 6.7 agora é chamado de provedor de chaves no vSphere 7.0 e posterior. Para obter mais informações sobre provedores de chaves, consulte O que é o serviço de provedor de chaves vSphere Trust Authority.
Em um ambiente de produção, você pode criar vários provedores de chaves. Ao criar vários provedores de chave, você pode resolver como gerenciar sua implantação com base na organização da empresa, diferentes unidades de negócios ou clientes e assim por diante.
Se você estiver seguindo essas tarefas na ordem, ainda estará conectado ao vCenter Server do cluster vSphere Trust Authority.
Pré-requisitos
- Ativar o Administrador do Trust Authority.
- Ativar o estado do Trust Authority.
- Coletar informações sobre hosts ESXi e vCenter Server confiáveis.
- Importar as Informações do Host Confiável para o Cluster do Trust Authority.
- Crie e ative uma chave no servidor de chaves para ser a chave primária do provedor de chaves confiável. Essa chave encapsula outras chaves e segredos usados por esse provedor de chaves confiável. Consulte a documentação do fornecedor do servidor de chaves para obter mais informações sobre como criar chaves.
Procedimento
Resultados
O provedor de chaves confiável foi criado e estabeleceu confiança com o servidor de chaves.
Exemplo: Criar o Provedor de Chave no Cluster do Trust Authority
Este exemplo mostra como usar PowerCLI para criar o provedor de chave confiável no Cluster do Trust Authority. Ele pressupõe que você esteja conectado ao vCenter Server do Cluster do Trust Authority como o administrador do Trust Authority. Ele também usa um certificado assinado pelo fornecedor do servidor de chaves depois de enviar uma CSR ao fornecedor.
A tabela a seguir mostra os componentes e os valores de exemplo que são usados.
Componente | Valor |
---|---|
Variável $vTA |
Get-TrustAuthorityCluster 'vTA Cluster' |
Variável $kp |
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA |
Variável $cert |
Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers |
vCenter Server para Cluster do Trust Authority | 192.168.210.22 |
Servidor de chaves compatível com KMIP | 192.168.110.91 |
Usuário do servidor de chaves compatível com KMIP | vcqekmip |
Nome do cluster do Trust Authority | Cluster do vTA |
Administrador do Trust Authority | [email protected] |
PS C:\Users\Administrator.CORP> Disconnect-VIServer -server * -Confirm:$false PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!' PS C:\Users\Administrator.CORP> New-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA -PrimaryKeyId 8 -Name clkp -KmipServerAddress 192.168.110.91 Name PrimaryKeyId Type TrustAuthorityClusterId ---- ------------ ---- ----------------------- clkp 8 KMIP TrustAuthorityCluster-domain-c8 PS C:\Users\Administrator.CORP> New-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp <Export the client certificate when you need to use it.> PS C:\Users\Administrator.CORP> Export-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -FilePath clientcert.pem PS C:\Users\Administrator.CORP> $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA PS C:\Users\Administrator.CORP> Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers Certificate Trusted KeyProviderServerId KeyProviderId ----------- ------- ------------------- ------------- [Subject]... False domain-c8-clkp:192.16.... domain-c8-clkp PS C:\WINDOWS\system32> $cert.Certificate.ToString() [Subject] E=<domain>, CN=<IP address>, OU=VMware Engineering, O=VMware, L=Palo Alto, S=California, C=US [Issuer] O=<host>.eng.vmware.com, C=US, DC=local, DC=vsphere, CN=CA [Serial Number] 00CEF192BBF9D80C9F [Not Before] 8/10/2015 4:16:12 PM [Not After] 8/9/2020 4:16:12 PM [Thumbprint] C44068C124C057A3D07F51DCF18720E963604B70 PS C:\Users\Administrator.CORP> $cert = Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers PS C:\Users\Administrator.CORP> Add-TrustAuthorityKeyProviderServerCertificate -ServerCertificate $cert Certificate Trusted KeyProviderServerId KeyProviderId ----------- ------- ------------------- ------------- [Subject]... True domain-c8-clkp PS C:\Users\Administrator.CORP> $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA PS C:\Users\Administrator.CORP> $kp.Status KeyProviderId Health HealthDetails ServerStatus ------------- ------ ------------- ------------ domain-c8-kp4 Ok {} {192.168.210.22}
O que Fazer Depois
Continue com Exportar as informações de cluster do Trust Authority.