可以从 vSphere Client(基于 HTML5 的客户端)向 vCenter Server 系统添加密钥管理服务器 (KMS),也可以使用公共 API 进行添加。

vSphere Client(基于 HTML5 的客户端)提供了一个向导,您可以使用该向导向 vCenter Server 系统添加 KMS 以及在 KMS 和 vCenter Server 之间建立信任。

vCenter Server 在您添加首个 KMS 实例时创建 KMS 群集。

  • vCenter Server 创建首个群集后,您可以将同一供应商的 KMS 实例添加到该群集。
  • 您可以设置只有一个 KMS 实例的群集。
  • 如果您的环境支持来自不同供应商的 KMS 解决方案,则您可以添加多个 KMS 群集。
  • 如果您的环境包含多个 KMS 群集,且您删除了默认群集,则您必须明确地设置其他默认群集。
注: 以下步骤仅适用于 vCenter Server Appliance。对于 Windows 上的 vCenter Server,系统会提示您先使 KMS 信任 vCenter Server,然后再使 vCenter Server 信任 KMS。

前提条件

  • 验证密钥服务器是否在《密钥管理服务器 (KMS) 的 VMware 兼容性指南》中列出,是否符合 KMIP 1.1,以及是否可以成为对称密钥 Foundry 和服务器。
  • 验证您是否拥有所需特权:加密操作.管理密钥服务器
  • 可以为 KMS 配置 IPv6 地址。
    • vCenter Server 和 KMS 都可以仅配置有 IPv6 地址。

过程

  1. 使用 vSphere Client(基于 HTML5 的客户端)登录到 vCenter Server 系统。
  2. 浏览清单列表,然后选择 vCenter Server 实例。
  3. 依次单击配置密钥管理服务器
  4. 单击添加,在向导中指定 KMS 信息,然后单击确定
  5. 单击信任
    向导会显示 vCenter Server 信任 KMS,并显示绿色复选标记。
  6. 单击使 KMS 信任 vCenter
  7. 选择适用于服务器的选项,然后完成各个步骤。
    选项 请参见
    根 CA 证书 使用“根 CA 证书”选项建立信任连接
    证书 使用“证书”选项建立信任连接
    新建证书签名请求 使用“新建证书签名请求”选项建立信任连接
    上载证书和私有密钥 使用“上载证书和私有密钥”选项建立信任连接
  8. 单击建立信任
    向导会显示 KMS 信任 vCenter Server,并显示绿色复选标记。
  9. 设置默认 KMS。
    1. 操作菜单中,选择更改默认群集
    2. 选择 KMS 群集,然后单击保存
      向导会将该 KMS 群集显示为当前的默认群集。