某些密钥服务器 (KMS) 供应商要求生成证书签名请求 (CSR) 并将该 CSR 发送到密钥服务器供应商。密钥服务器供应商将对 CSR 进行签名并返回签名证书。将此签名证书配置为可信密钥提供程序的客户端证书后,密钥服务器将接受来自可信密钥提供程序的流量。
此任务分为两步。首先,生成 CSR 并将其发送给密钥服务器供应商。然后,上载从密钥服务器供应商收到的签名证书。
过程
- 确保您已连接到 Trust Authority 集群的 vCenter Server。例如,可以输入 $global:defaultviservers,显示所有连接的服务器。
- (可选) 如有必要,可以运行以下命令确保您已连接到 Trust Authority 集群的 vCenter Server。
Disconnect-VIServer -server * -Confirm:$false
Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
- 将
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA 信息分配给变量。
例如:
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
如果按顺序执行这些任务,则之前已将 Get-TrustAuthorityCluster 信息分配给了变量(例如,$vTA = Get-TrustAuthorityCluster 'vTA Cluster')。
此变量获取给定 Trust Authority 集群(在本例中为
$vTA)中的可信密钥提供程序。
注: 如果您有多个可信密钥提供程序,请使用如下类似命令选择一个所需的可信密钥提供程序:
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
<The trusted key providers listing is displayed.>
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1
使用 Select-Object -Last 1 选择列表中的最后一个可信密钥提供程序。
- 要生成 CSR,请使用 New-TrustAuthorityKeyProviderClientCertificateCSR cmdlet。
例如:
New-TrustAuthorityKeyProviderClientCertificateCSR -KeyProvider $kp
此时将显示 CSR。您还可以使用
Get-TrustAuthorityKeyProviderClientCertificateCSR -KeyProvider $kp cmdlet 获取 CSR。
- 要获取签名证书,请将 CSR 提交给密钥服务器供应商。
证书必须采用 PEM 格式。如果证书以非 PEM 的格式返回,请使用
openssl 命令将其转换为 PEM。例如:
- 从密钥服务器供应商收到签名证书后,使用 Set-TrustAuthorityKeyProviderClientCertificate cmdlet 将证书上载到密钥服务器。
例如:
Set-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -CertificateFilePath <path/tp/certfile.pem>
