上载证书和私钥以建立可信密钥提供程序可信连接

某些密钥服务器 (KMS) 供应商要求使用密钥服务器提供的客户端证书和私钥配置可信密钥提供程序。配置可信密钥提供程序后，密钥服务器将接受来自可信密钥提供程序的流量。

前提条件

启用 Trust Authority 管理员.
启用 Trust Authority 状态.
收集有关要信任的 ESXi 主机和 vCenter Server 的信息.
将受信任主机信息导入到 Trust Authority 集群.
在 Trust Authority 集群上创建密钥提供程序.
向密钥服务器供应商请求 PEM 格式的证书和私钥。如果证书以非 PEM 的格式返回，请将其转换为 PEM。如果私钥受密码保护，请创建移除了密码的 PEM 文件。可以使用 openssl 命令执行这两项操作。例如：
- 要将证书从 CRT 转换为 PEM 格式，请执行以下命令：
```
openssl x509 -in clientcert.crt -out clientcert.pem -outform PEM
```
- 要将证书从 DER 转换为 PEM 格式，请执行以下命令：
```
openssl x509 -inform DER -in clientcert.der -out clientcert.pem
```
- 要从私钥中移除密码，请执行以下命令：
```
openssl rsa -in key.pem -out keynopassword.pem
Enter pass phrase for key.pem:
writing RSA key
```

过程

确保您已连接到 Trust Authority 集群的 vCenter Server。例如，可以输入 $global:defaultviservers，显示所有连接的服务器。

（可选） 如有必要，可以运行以下命令确保您已连接到 Trust Authority 集群的 vCenter Server。

Disconnect-VIServer -server * -Confirm:$false
Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'

将 Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA 信息分配给变量。
例如：
```
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
```
如果按顺序执行这些任务，则之前已将 Get-TrustAuthorityCluster 信息分配给了变量（例如，$vTA = Get-TrustAuthorityCluster 'vTA Cluster'）。
$kp 变量获取给定 Trust Authority 集群（在本例中为 $vTA）中的可信密钥提供程序。
注：如果您有多个可信密钥提供程序，请使用如下类似命令选择一个所需的可信密钥提供程序：
```
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
<The trusted key providers listing is displayed.>
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1
```
使用 Select-Object -Last 1 选择列表中的最后一个可信密钥提供程序。

使用 Set-TrustAuthorityKeyProviderClientCertificate 命令上载证书和私钥。

例如：

Set-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -CertificateFilePath <path/to/certfile.pem> -PrivateKeyFilePath <path/to/privatekey.pem>

结果

可信密钥提供程序与密钥服务器建立了信任。