某些密钥服务器 (KMS) 供应商要求将可信密钥提供程序的客户端证书上载到密钥服务器。上载后,密钥服务器便会接受来自可信密钥提供程序的流量。

前提条件

过程

  1. 确保您已连接到 Trust Authority 集群的 vCenter Server。例如,可以输入 $global:defaultviservers,显示所有连接的服务器。
  2. (可选) 如有必要,可以运行以下命令确保您已连接到 Trust Authority 集群的 vCenter Server
    Disconnect-VIServer -server * -Confirm:$false
    Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
  3. Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA 信息分配给变量。
    例如:
    $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA

    如果按顺序执行这些任务,则之前已将 Get-TrustAuthorityCluster 信息分配给了变量(例如,$vTA = Get-TrustAuthorityCluster 'vTA Cluster')。

    此变量获取给定 Trust Authority 集群(在本例中为 $vTA)中的可信密钥提供程序。
    注: 如果您有多个可信密钥提供程序,请使用如下类似命令选择一个所需的可信密钥提供程序:
    Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
    <The trusted key providers listing is displayed.>
    $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1

    使用 Select-Object -Last 1 选择列表中的最后一个可信密钥提供程序。

  4. 要创建可信密钥提供程序客户端证书,请运行 New-TrustAuthorityKeyProviderClientCertificate cmdlet。
    例如:
    New-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp
    此时将显示指纹。
  5. 要导出密钥提供程序客户端证书,请运行 Export-TrustAuthorityKeyProviderClientCertificate cmdlet。
    例如:
    Export-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -FilePath clientcert.pem
    证书将导出到文件。
  6. 将证书文件上载到密钥服务器。
    有关详细信息,请参见密钥服务器文档。

结果

可信密钥提供程序与密钥服务器建立了信任。