某些密钥服务器 (KMS) 供应商要求将可信密钥提供程序的客户端证书上载到密钥服务器。上载后,密钥服务器便会接受来自可信密钥提供程序的流量。
过程
- 确保您已连接到 Trust Authority 集群的 vCenter Server。例如,可以输入 $global:defaultviservers,显示所有连接的服务器。
- (可选) 如有必要,可以运行以下命令确保您已连接到 Trust Authority 集群的 vCenter Server。
Disconnect-VIServer -server * -Confirm:$false
Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
- 将
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA 信息分配给变量。
例如:
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
如果按顺序执行这些任务,则之前已将 Get-TrustAuthorityCluster 信息分配给了变量(例如,$vTA = Get-TrustAuthorityCluster 'vTA Cluster')。
此变量获取给定 Trust Authority 集群(在本例中为
$vTA)中的可信密钥提供程序。
注: 如果您有多个可信密钥提供程序,请使用如下类似命令选择一个所需的可信密钥提供程序:
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
<The trusted key providers listing is displayed.>
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1
使用 Select-Object -Last 1 选择列表中的最后一个可信密钥提供程序。
- 要创建可信密钥提供程序客户端证书,请运行 New-TrustAuthorityKeyProviderClientCertificate cmdlet。
例如:
New-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp
此时将显示指纹。
- 要导出密钥提供程序客户端证书,请运行 Export-TrustAuthorityKeyProviderClientCertificate cmdlet。
例如:
Export-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -FilePath clientcert.pem
证书将导出到文件。
- 将证书文件上载到密钥服务器。
有关详细信息,请参见密钥服务器文档。
