某些密钥服务器 (KMS) 供应商要求生成证书签名请求 (CSR) 并将该 CSR 发送到密钥服务器供应商。密钥服务器供应商将对 CSR 进行签名并返回签名证书。将此签名证书配置为可信密钥提供程序的客户端证书后,密钥服务器将接受来自可信密钥提供程序的流量。

此任务分为两步。首先,生成 CSR 并将其发送给密钥服务器供应商。然后,上载从密钥服务器供应商收到的签名证书。

前提条件

过程

  1. 确保您已连接到 Trust Authority 集群的 vCenter Server。例如,可以输入 $global:defaultviservers,显示所有连接的服务器。
  2. (可选) 如有必要,可以运行以下命令确保您已连接到 Trust Authority 集群的 vCenter Server
    Disconnect-VIServer -server * -Confirm:$false
    Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
  3. Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA 信息分配给变量。
    例如:
    $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA

    如果按顺序执行这些任务,则之前已将 Get-TrustAuthorityCluster 信息分配给了变量(例如,$vTA = Get-TrustAuthorityCluster 'vTA Cluster')。

    此变量获取给定 Trust Authority 集群(在本例中为 $vTA)中的可信密钥提供程序。
    注: 如果您有多个可信密钥提供程序,请使用如下类似命令选择一个所需的可信密钥提供程序:
    Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
    <The trusted key providers listing is displayed.>
    $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1

    使用 Select-Object -Last 1 选择列表中的最后一个可信密钥提供程序。

  4. 要生成 CSR,请使用 New-TrustAuthorityKeyProviderClientCertificateCSR cmdlet。
    例如:
    New-TrustAuthorityKeyProviderClientCertificateCSR -KeyProvider $kp
    此时将显示 CSR。您还可以使用 Get-TrustAuthorityKeyProviderClientCertificateCSR -KeyProvider $kp cmdlet 获取 CSR。
  5. 要获取签名证书,请将 CSR 提交给密钥服务器供应商。
    证书必须采用 PEM 格式。如果证书以非 PEM 的格式返回,请使用 openssl 命令将其转换为 PEM。例如:
    • 要将证书从 CRT 转换为 PEM 格式,请执行以下命令:
      openssl x509 -in clientcert.crt -out clientcert.pem -outform PEM
    • 要将证书从 DER 转换为 PEM 格式,请执行以下命令:
      openssl x509 -inform DER -in clientcert.der -out clientcert.pem
  6. 从密钥服务器供应商收到签名证书后,使用 Set-TrustAuthorityKeyProviderClientCertificate cmdlet 将证书上载到密钥服务器。
    例如:
    Set-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -CertificateFilePath <path/tp/certfile.pem>

结果

可信密钥提供程序与密钥服务器建立了信任。