Para que o Serviço de Provedor de Chaves se conecte a um provedor de chaves, você deve criar um provedor de chaves confiável e, em seguida, configurar uma configuração de confiança entre o Cluster vSphere Trust Authority e o servidor de chaves (KMS). Para a maioria dos servidores de chaves compatíveis com KMIP, essa configuração envolve a configuração de certificados de cliente e servidor.

O que antes era chamado de Cluster KMS no vSphere 6.7 agora é chamado de provedor de chaves no vSphere 7.0 e posterior. Para obter mais informações sobre provedores de chaves, consulte O que é o serviço de provedor de chaves vSphere Trust Authority.

Em um ambiente de produção, você pode criar vários provedores de chaves. Ao criar vários provedores de chave, você pode resolver como gerenciar sua implantação com base na organização da empresa, diferentes unidades de negócios ou clientes e assim por diante.

Se você estiver seguindo essas tarefas na ordem, ainda estará conectado ao vCenter Server do cluster vSphere Trust Authority.

Pré-requisitos

Procedimento

  1. Assegure-se de estar conectado ao vCenter Server do Cluster do Trust Authority. Por exemplo, você pode digitar $global:defaultviservers para mostrar todos os servidores conectados.
  2. (Opcional) Se necessário, você pode executar os seguintes comandos para garantir que esteja conectado ao vCenter Server do Cluster do Trust Authority.
    Disconnect-VIServer -server * -Confirm:$false
    Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
  3. Para criar o provedor de chaves confiável, execute o cmdlet New-TrustAuthorityKeyProvider.
    Por exemplo, esse comando usa 1 para o PrimaryKeyID e o nome clkp. Se estiver seguindo essas tarefas na ordem, você atribuiu anteriormente informações de Get-TrustAuthorityCluster a uma variável (por exemplo, $vTA = Get-TrustAuthorityCluster 'vTA Cluster').
    New-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA -PrimaryKeyId 1 -Name clkp -KmipServerAddress ip_address
    O PrimaryKeyID normalmente é uma ID de chave que vem do servidor de chaves na forma de um UUID. Não use o nome da chave para PrimaryKeyID. O valor PrimaryKeyID depende do fornecedor. Consulte a documentação do servidor de chaves. O cmdlet New-TrustAuthorityKeyProvider pode ter outras opções, como KmipServerPort, ProxyAddress e ProxyPort. Consulte o sistema de Ajuda do New-TrustAuthorityKeyProvider para obter mais informações.

    Cada provedor de chave lógica, independentemente do tipo (Padrão, Confiável e Provedor de Chave Nativo), deve ter um nome exclusivo em todos os sistemas vCenter Server.

    Para obter mais informações, consulte Nomenclatura do provedor de chaves.

    Observação: Para adicionar vários servidores de chaves ao provedor de chaves, use o cmdlet Add-TrustAuthorityKeyProviderServer.
    As informações do provedor de chaves são exibidas.
  4. Estabeleça a conexão confiável para que o servidor de chaves confie no provedor de chaves confiável. O processo exato depende dos certificados que o servidor de chaves aceita e da política da sua empresa. Selecione a opção apropriada para o seu servidor e conclua as etapas.
    Opção Ver
    Carregar certificado do cliente Carregar o Certificado do Cliente para Estabelecer uma Conexão Confiável de Provedor de Chave Confiável.
    Carregar certificado KMS e chave privada Carregar o Certificado e a Chave Privada para Estabelecer uma Conexão Confiável de Provedor de Chave Confiável.
    Nova solicitação de assinatura de certificado Criar uma Solicitação de Assinatura de Certificado para Estabelecer uma Conexão Confiável de Provedor de Chave Confiável.
  5. Conclua a configuração de confiança carregando um certificado de servidor de chaves para que o provedor de chaves confiável confie no servidor de chaves.
    1. Atribua as informações de Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA a uma variável.
      Por exemplo:
      $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA

      Essa variável obtém os provedores de chaves confiáveis no Cluster do Trust Authority determinado, neste caso, $vTA.

      Observação: Se você tiver mais de um provedor de chaves confiável, use comandos semelhantes aos seguintes para selecionar aquele desejado:
      Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
      <The trusted key providers listing is displayed.>
      $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1
      

      O uso de Select-Object -Last 1 seleciona o último provedor de chaves confiável na lista.

    2. Para obter o certificado do servidor do servidor de chaves, execute o comando Get-TrustAuthorityKeyProviderServerCertificate.
      Por exemplo:
      Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers
      As informações do certificado do servidor são exibidas. Inicialmente, o certificado não é confiável, portanto, o estado Confiável é False. Se você tiver mais de um servidor de chaves configurado, uma lista de certificados será retornada. Verifique e adicione cada certificado usando as instruções a seguir.
    3. Antes de confiar no certificado, atribua informações de Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers a uma variável (por exemplo, cert), execute o comando $cert.Certificate.ToString() e verifique a saída.
      Por exemplo:
      $cert = Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers
      $cert.Certificate.ToString()
      As informações do certificado são exibidas, incluindo Assunto, Emissor e outras informações.
    4. Para adicionar o certificado do servidor KMIP ao provedor de chaves confiável, execute Add-TrustAuthorityKeyProviderServerCertificate.
      Por exemplo:
      Add-TrustAuthorityKeyProviderServerCertificate -ServerCertificate $cert
      
      As informações do certificado são exibidas e o estado Confiável agora é True.
  6. Verifique o status do provedor de chaves.
    1. Para atualizar o status do provedor de chaves, reatribua a variável $kp.
      Por exemplo:
      $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
      Observação: Se você tiver mais de um provedor de chaves confiável, use comandos semelhantes aos seguintes para selecionar aquele desejado:
      Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
      <The trusted key providers listing is displayed.>
      $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1
      

      O uso de Select-Object -Last 1 seleciona o último provedor de chaves confiável na lista.

    2. Execute o comando $kp.Status para obter o status do provedor de chaves.
      Por exemplo:
      $kp.Status
      Observação: O status pode levar alguns minutos para ser atualizado. Para visualizar o status, reatribua a variável $kp e execute novamente o comando $kp.Status.
    Um status de integridade de Ok indica que o provedor de chaves está sendo executado corretamente.

Resultados

O provedor de chaves confiável foi criado e estabeleceu confiança com o servidor de chaves.

Exemplo: Criar o Provedor de Chave no Cluster do Trust Authority

Este exemplo mostra como usar PowerCLI para criar o provedor de chave confiável no Cluster do Trust Authority. Ele pressupõe que você esteja conectado ao vCenter Server do Cluster do Trust Authority como o administrador do Trust Authority. Ele também usa um certificado assinado pelo fornecedor do servidor de chaves depois de enviar uma CSR ao fornecedor.

A tabela a seguir mostra os componentes e os valores de exemplo que são usados.

Tabela 1. Exemplo de configuração do vSphere Trust Authority
Componente Valor
Variável $vTA Get-TrustAuthorityCluster 'vTA Cluster'
Variável $kp Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
Variável $cert Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers
vCenter Server para Cluster do Trust Authority 192.168.210.22
Servidor de chaves compatível com KMIP 192.168.110.91
Usuário do servidor de chaves compatível com KMIP vcqekmip
Nome do cluster do Trust Authority Cluster do vTA
Administrador do Trust Authority [email protected]
PS C:\Users\Administrator.CORP> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!'

PS C:\Users\Administrator.CORP> New-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA -PrimaryKeyId 8 -Name clkp -KmipServerAddress 192.168.110.91
Name                 PrimaryKeyId         Type       TrustAuthorityClusterId
----                 ------------         ----       -----------------------
clkp                 8                    KMIP       TrustAuthorityCluster-domain-c8

PS C:\Users\Administrator.CORP> New-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp
<Export the client certificate when you need to use it.>
PS C:\Users\Administrator.CORP> Export-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -FilePath clientcert.pem

PS C:\Users\Administrator.CORP> $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
PS C:\Users\Administrator.CORP> Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers

Certificate                              Trusted    KeyProviderServerId       KeyProviderId
-----------                              -------    -------------------       -------------
[Subject]...                             False      domain-c8-clkp:192.16.... domain-c8-clkp

PS C:\WINDOWS\system32> $cert.Certificate.ToString()
[Subject]
  E=<domain>, CN=<IP address>, OU=VMware Engineering, O=VMware, L=Palo Alto, S=California, C=US

[Issuer]
  O=<host>.eng.vmware.com, C=US, DC=local, DC=vsphere, CN=CA

[Serial Number]
  00CEF192BBF9D80C9F

[Not Before]
  8/10/2015 4:16:12 PM

[Not After]
  8/9/2020 4:16:12 PM

[Thumbprint]
  C44068C124C057A3D07F51DCF18720E963604B70

PS C:\Users\Administrator.CORP> $cert = Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers
PS C:\Users\Administrator.CORP> Add-TrustAuthorityKeyProviderServerCertificate -ServerCertificate $cert

Certificate                              Trusted    KeyProviderServerId       KeyProviderId
-----------                              -------    -------------------       -------------
[Subject]...                             True                                 domain-c8-clkp

PS C:\Users\Administrator.CORP> $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
PS C:\Users\Administrator.CORP> $kp.Status

KeyProviderId Health HealthDetails ServerStatus
------------- ------ ------------- ------------
domain-c8-kp4     Ok {}            {192.168.210.22}

O que Fazer Depois

Continue com Exportar as informações de cluster do Trust Authority.