Zum Aufbau einer Vertrauensstellung benötigt der vSphere Trust Authority-Cluster Informationen über die ESXi-Hosts und den vCenter Server des vertrauenswürdigen Clusters. Sie exportieren diese Informationen als Dateien, die in den Trust Authority-Cluster importiert werden. Sie müssen sicherstellen, dass diese Dateien vertraulich behandelt und sicher übertragen werden.
Mithilfe von vSphere Trust Authority PowerCLI-Cmdlets exportieren Sie die folgenden Informationen als Dateien aus den ESXi-Hosts im vertrauenswürdigen Cluster, damit der Trust Authority-Cluster die vertrauenswürdige Software und Hardware erkennt.
- ESXi-Version
- TPM-Hersteller (CA-Zertifikat)
- (Optional) Einzelnes TPM (EK-Zertifikat)
Wenn Sie über Hosts desselben Typs und Anbieters verfügen und diese im selben Zeitraum und am selben Ort hergestellt wurden, können Sie unter Umständen alle TPMs als vertrauenswürdig einstufen, indem Sie das CA-Zertifikat nur eines der TPMs abrufen. Um einem einzelnen TPM als vertrauenswürdig einzustufen, rufen Sie das EK-Zertifikat des TPM ab.
Sie müssen auch die Prinzipalinformationen aus dem vCenter Server des vertrauenswürdigen Clusters abrufen. Die Prinzipalinformationen enthalten den Lösungsbenutzer „vpxd“ sowie dessen Zertifikatskette. Mithilfe der Prinzipalinformationen kann der vCenter Server des vertrauenswürdigen Clusters die verfügbaren vertrauenswürdigen Schlüsselanbieter ermitteln, die im Trust Authority-Cluster konfiguriert sind.
Für die erstmalige Konfiguration von vSphere Trust Authority müssen Sie die ESXi-Version und die TPM-Informationen erfassen. Sie müssen auch die ESXi-Version bei jeder Bereitstellung einer neuen Version von ESXi erfassen, so auch beim Upgraden oder Anwenden eines Patches.
Sie erfassen die Informationen des vCenter Server-Prinzipals nur einmal pro vCenter Server-System.
Voraussetzungen
- Geben Sie die ESXi-Versionen und TPM-Hardwaretypen an, die sich im vertrauenswürdigen Cluster befinden, und legen Sie fest, ob Sie alle TPM-Hardwaretypen, nur bestimmte oder einzelne Hosts als vertrauenswürdig einstufen möchten.
- Erstellen Sie auf der Maschine, von der aus Sie die PowerCLI ausführen, einen lokalen Ordner, in dem die Informationen, die Sie als Dateien exportieren, gespeichert werden sollen.
- Aktivieren des Trust Authority-Administrators.
- Aktivieren des Trust Authority-Status.
Prozedur
Ergebnisse
Die folgenden Dateien werden erstellt:
- CA-Zertifikatsdatei des TPM (Dateierweiterung „zip“)
- ESXi-Image-Datei (Dateierweiterung „tgz“)
- vCenter Server-Prinzipaldatei (Dateierweiterung „json“)
Beispiel: Erfassen von Informationen zu ESXi-Hosts und zum vertrauenswürdigen vCenter Server
In diesem Beispiel wird die Verwendung der PowerCLI zum Exportieren der ESXi-Hostinformationen und der vCenter Server-Prinzipalinformationen erläutert. In der folgenden Tabelle werden die verwendeten Beispielkomponenten und -werte angezeigt.
Komponente | Wert |
---|---|
ESXi-Host im vertrauenswürdigen Cluster | 192.168.110.51 |
vCenter Server für vertrauenswürdigen Cluster | 192.168.110.22 |
Variable $vmhost |
Get-VMHost |
Variable $tpm2 |
Get-Tpm2EndorsementKey -VMHost $vmhost |
Trust Authority-Administrator | [email protected] |
Lokales Verzeichnis zum Speichern von Ausgabedateien | C:\vta |
PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.110.51 -User root -Password 'VMware1!' Name Port User ---- ---- ---- 192.168.110.51 443 root PS C:\Users\Administrator.CORP> Get-VMHost Name ConnectionState PowerState NumCpu CpuUsageMhz CpuTotalMhz MemoryUsageGB MemoryTotalGB Version ---- --------------- ---------- ------ ----------- ----------- ------------- ------------- ------- 192.168.110.51 Connected PoweredOn 4 200 9576 1.614 7.999 7.0.0 PS C:\Users\Administrator.CORP> $vmhost = Get-VMHost PS C:\Users\Administrator.CORP> $tpm2 = Get-Tpm2EndorsementKey -VMHost $vmhost PS C:\> Export-Tpm2CACertificate -Tpm2EndorsementKey $tpm2 -FilePath C:\vta\cacert.zip Mode LastWriteTime Length Name ---- ------------- ------ ---- -a---- 10/8/2019 6:55 PM 1004 cacert.zip PS C:\Users\Administrator.CORP> Export-VMHostImageDb -VMHost $vmhost -FilePath C:\vta\image.tgz Mode LastWriteTime Length Name ---- ------------- ------ ---- -a---- 10/8/2019 11:02 PM 2391 image.tgz PS C:\Users\Administrator.CORP> Disconnect-VIServer -server * -Confirm:$false PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.110.22 -User [email protected] -Password 'VMware1!' Name Port User ---- ---- ---- 192.168.110.22 443 VSPHERE.LOCAL\trustedadmin PS C:\Users\Administrator.CORP> Export-TrustedPrincipal -FilePath C:\vta\principal.json Mode LastWriteTime Length Name ---- ------------- ------ ---- -a---- 10/8/2019 11:14 PM 1873 principal.json
Nächste Maßnahme
Fahren Sie mit Importieren der Informationen des vertrauenswürdigen Hosts in den Trust Authority-Cluster fort.