Criar o Provedor de Chave no Cluster do Trust Authority

Para que o Serviço de Provedor de Chaves se conecte a um provedor de chaves, você deve criar um provedor de chaves confiável e, em seguida, configurar uma configuração de confiança entre o Cluster vSphere Trust Authority e o servidor de chaves (KMS). Para a maioria dos servidores de chaves compatíveis com KMIP, essa configuração envolve a configuração de certificados de cliente e servidor.

O que antes era chamado de Cluster KMS no vSphere 6.7 agora é chamado de provedor de chaves no vSphere 7.0 e posterior. Para obter mais informações sobre provedores de chaves, consulte O que é o serviço de provedor de chaves vSphere Trust Authority.

Em um ambiente de produção, você pode criar vários provedores de chaves. Ao criar vários provedores de chave, você pode resolver como gerenciar sua implantação com base na organização da empresa, diferentes unidades de negócios ou clientes e assim por diante.

Se você estiver seguindo essas tarefas na ordem, ainda estará conectado ao vCenter Server do cluster vSphere Trust Authority.

Pré-requisitos

Ativar o Administrador do Trust Authority.
Ativar o estado do Trust Authority.
Coletar informações sobre hosts ESXi e vCenter Server confiáveis.
Importar as Informações do Host Confiável para o Cluster do Trust Authority.
Crie e ative uma chave no servidor de chaves para ser a chave primária do provedor de chaves confiável. Essa chave encapsula outras chaves e segredos usados por esse provedor de chaves confiável. Consulte a documentação do fornecedor do servidor de chaves para obter mais informações sobre como criar chaves.

Procedimento

Assegure-se de estar conectado ao vCenter Server do Cluster do Trust Authority. Por exemplo, você pode digitar $global:defaultviservers para mostrar todos os servidores conectados.

(Opcional) Se necessário, você pode executar os seguintes comandos para garantir que esteja conectado ao vCenter Server do Cluster do Trust Authority.

Disconnect-VIServer -server * -Confirm:$false
Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'

Para criar o provedor de chaves confiável, execute o cmdlet New-TrustAuthorityKeyProvider.
Por exemplo, esse comando usa 1 para o PrimaryKeyID e o nome clkp. Se estiver seguindo essas tarefas na ordem, você atribuiu anteriormente informações de Get-TrustAuthorityCluster a uma variável (por exemplo, $vTA = Get-TrustAuthorityCluster 'vTA Cluster').
```
New-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA -PrimaryKeyId 1 -Name clkp -KmipServerAddress ip_address
```
O PrimaryKeyID normalmente é uma ID de chave que vem do servidor de chaves na forma de um UUID. Não use o nome da chave para PrimaryKeyID. O valor PrimaryKeyID depende do fornecedor. Consulte a documentação do servidor de chaves. O cmdlet New-TrustAuthorityKeyProvider pode ter outras opções, como KmipServerPort, ProxyAddress e ProxyPort. Consulte o sistema de Ajuda do New-TrustAuthorityKeyProvider para obter mais informações.
Cada provedor de chave lógica, independentemente do tipo (Padrão, Confiável e Provedor de Chave Nativo), deve ter um nome exclusivo em todos os sistemas vCenter Server.

Para obter mais informações, consulte Nomenclatura do provedor de chaves.

Observação: Para adicionar vários servidores de chaves ao provedor de chaves, use o cmdlet Add-TrustAuthorityKeyProviderServer.

As informações do provedor de chaves são exibidas.

Estabeleça a conexão confiável para que o servidor de chaves confie no provedor de chaves confiável. O processo exato depende dos certificados que o servidor de chaves aceita e da política da sua empresa. Selecione a opção apropriada para o seu servidor e conclua as etapas.

Opção	Ver
Carregar certificado do cliente	Carregar o Certificado do Cliente para Estabelecer uma Conexão Confiável de Provedor de Chave Confiável.
Carregar certificado KMS e chave privada	Carregar o Certificado e a Chave Privada para Estabelecer uma Conexão Confiável de Provedor de Chave Confiável.
Nova solicitação de assinatura de certificado	Criar uma Solicitação de Assinatura de Certificado para Estabelecer uma Conexão Confiável de Provedor de Chave Confiável.

Conclua a configuração de confiança carregando um certificado de servidor de chaves para que o provedor de chaves confiável confie no servidor de chaves.
1. Atribua as informações de Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA a uma variável.
  Por exemplo:
```
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
```
  Essa variável obtém os provedores de chaves confiáveis no Cluster do Trust Authority determinado, neste caso, $vTA.
  
  Observação: Se você tiver mais de um provedor de chaves confiável, use comandos semelhantes aos seguintes para selecionar aquele desejado:
```
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
<The trusted key providers listing is displayed.>
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1
```
  O uso de Select-Object -Last 1 seleciona o último provedor de chaves confiável na lista.
2. Para obter o certificado do servidor do servidor de chaves, execute o comando Get-TrustAuthorityKeyProviderServerCertificate.
  Por exemplo:
```
Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers
```
  As informações do certificado do servidor são exibidas. Inicialmente, o certificado não é confiável, portanto, o estado Confiável é False. Se você tiver mais de um servidor de chaves configurado, uma lista de certificados será retornada. Verifique e adicione cada certificado usando as instruções a seguir.
3. Antes de confiar no certificado, atribua informações de Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers a uma variável (por exemplo, cert), execute o comando $cert.Certificate.ToString() e verifique a saída.
  Por exemplo:
```
$cert = Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers
$cert.Certificate.ToString()
```
  As informações do certificado são exibidas, incluindo Assunto, Emissor e outras informações.
4. Para adicionar o certificado do servidor KMIP ao provedor de chaves confiável, execute Add-TrustAuthorityKeyProviderServerCertificate.
  Por exemplo:
```
Add-TrustAuthorityKeyProviderServerCertificate -ServerCertificate $cert
```
  As informações do certificado são exibidas e o estado Confiável agora é True.
Verifique o status do provedor de chaves.
1. Para atualizar o status do provedor de chaves, reatribua a variável $kp.
  Por exemplo:
```
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
```
  Observação: Se você tiver mais de um provedor de chaves confiável, use comandos semelhantes aos seguintes para selecionar aquele desejado:
```
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
<The trusted key providers listing is displayed.>
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1
```
  O uso de Select-Object -Last 1 seleciona o último provedor de chaves confiável na lista.
2. Execute o comando $kp.Status para obter o status do provedor de chaves.
  Por exemplo:
```
$kp.Status
```
  Observação: O status pode levar alguns minutos para ser atualizado. Para visualizar o status, reatribua a variável $kp e execute novamente o comando $kp.Status.
Um status de integridade de Ok indica que o provedor de chaves está sendo executado corretamente.

Resultados

O provedor de chaves confiável foi criado e estabeleceu confiança com o servidor de chaves.

Exemplo: Criar o Provedor de Chave no Cluster do Trust Authority

Este exemplo mostra como usar PowerCLI para criar o provedor de chave confiável no Cluster do Trust Authority. Ele pressupõe que você esteja conectado ao vCenter Server do Cluster do Trust Authority como o administrador do Trust Authority. Ele também usa um certificado assinado pelo fornecedor do servidor de chaves depois de enviar uma CSR ao fornecedor.

A tabela a seguir mostra os componentes e os valores de exemplo que são usados.

Tabela 1. Exemplo de configuração do vSphere Trust Authority
Componente	Valor
Variável `$vTA`	Get-TrustAuthorityCluster 'vTA Cluster'
Variável `$kp`	Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
Variável `$cert`	Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers
vCenter Server para Cluster do Trust Authority	192.168.210.22
Servidor de chaves compatível com KMIP	192.168.110.91
Usuário do servidor de chaves compatível com KMIP	vcqekmip
Nome do cluster do Trust Authority	Cluster do vTA
Administrador do Trust Authority	[email protected]

PS C:\Users\Administrator.CORP> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!'

PS C:\Users\Administrator.CORP> New-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA -PrimaryKeyId 8 -Name clkp -KmipServerAddress 192.168.110.91
Name                 PrimaryKeyId         Type       TrustAuthorityClusterId
----                 ------------         ----       -----------------------
clkp                 8                    KMIP       TrustAuthorityCluster-domain-c8

PS C:\Users\Administrator.CORP> New-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp
<Export the client certificate when you need to use it.>
PS C:\Users\Administrator.CORP> Export-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -FilePath clientcert.pem

PS C:\Users\Administrator.CORP> $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
PS C:\Users\Administrator.CORP> Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers

Certificate                              Trusted    KeyProviderServerId       KeyProviderId
-----------                              -------    -------------------       -------------
[Subject]...                             False      domain-c8-clkp:192.16.... domain-c8-clkp

PS C:\WINDOWS\system32> $cert.Certificate.ToString()
[Subject]
  E=<domain>, CN=<IP address>, OU=VMware Engineering, O=VMware, L=Palo Alto, S=California, C=US

[Issuer]
  O=<host>.eng.vmware.com, C=US, DC=local, DC=vsphere, CN=CA

[Serial Number]
  00CEF192BBF9D80C9F

[Not Before]
  8/10/2015 4:16:12 PM

[Not After]
  8/9/2020 4:16:12 PM

[Thumbprint]
  C44068C124C057A3D07F51DCF18720E963604B70

PS C:\Users\Administrator.CORP> $cert = Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers
PS C:\Users\Administrator.CORP> Add-TrustAuthorityKeyProviderServerCertificate -ServerCertificate $cert

Certificate                              Trusted    KeyProviderServerId       KeyProviderId
-----------                              -------    -------------------       -------------
[Subject]...                             True                                 domain-c8-clkp

PS C:\Users\Administrator.CORP> $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
PS C:\Users\Administrator.CORP> $kp.Status

KeyProviderId Health HealthDetails ServerStatus
------------- ------ ------------- ------------
domain-c8-kp4     Ok {}            {192.168.210.22}

O que Fazer Depois

Continue com Exportar as informações de cluster do Trust Authority.