Bestimmte Schlüsselserveranbieter (KMS) verlangen, dass eine Zertifikatssignieranforderung (Certificate Signing Request, CSR) generiert und an den Schlüsselserveranbieter übermittelt wird. Der Schlüsselserveranbieter signiert die Zertifikatssignieranforderung und sendet das signierte Zertifikat zurück. Nachdem Sie dieses signierte Zertifikat als Clientzertifikat des vertrauenswürdigen Schlüsselanbieters konfiguriert haben, akzeptiert der Schlüsselserveranbieter den Datenverkehr, der vom vertrauenswürdigen Schlüsselanbieter stammt.

Bei dieser Aufgabe handelt es sich um einen zweistufigen Prozess. Zuerst generieren Sie die Zertifikatssignieranforderung und senden diese an den Schlüsselserveranbieter. Anschließend laden Sie das signierte Zertifikat hoch, das Sie vom Schlüsselserveranbieter erhalten haben.

Voraussetzungen

Prozedur

  1. Stellen Sie sicher, dass Sie mit dem vCenter Server des Trust Authority-Clusters verbunden sind. Sie können beispielsweise $global:defaultviservers eingeben, um alle verbundenen Server anzuzeigen.
  2. (Optional) Sie können gegebenenfalls die folgenden Befehle ausführen, um sicherzustellen, dass Sie mit dem vCenter Server des Trust Authority-Clusters verbunden sind.
    Disconnect-VIServer -server * -Confirm:$false
    Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
  3. Weisen Sie die Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA-Informationen einer Variable zu.
    Beispiel:
    $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA

    Wenn Sie diese Aufgaben nacheinander ausführen, haben Sie die Get-TrustAuthorityCluster-Informationen zuvor einer Variable zugewiesen (z. B. $vTA = Get-TrustAuthorityCluster 'vTA Cluster').

    Diese Variable erhält die vertrauenswürdigen Schlüsselanbieter im Trust Authority-Cluster, in diesem Fall $vTA.
    Hinweis: Wenn Sie über mehrere vertrauenswürdige Schlüsselanbieter verfügen, verwenden Sie Befehle ähnlich den folgenden, um den gewünschten Anbieter auszuwählen:
    Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
    <The trusted key providers listing is displayed.>
    $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1

    Mit Select-Object -Last 1 wird der letzte vertrauenswürdige Schlüsselanbieter in der Liste angezeigt.

  4. Verwenden Sie zum Generieren einer CSR das New-TrustAuthorityKeyProviderClientCertificateCSR-Cmdlet.
    Beispiel:
    New-TrustAuthorityKeyProviderClientCertificateCSR -KeyProvider $kp
    Die CSR wird angezeigt. Sie können auch das Get-TrustAuthorityKeyProviderClientCertificateCSR -KeyProvider $kp-Cmdlet verwenden, um die CSR zu erhalten.
  5. Um ein signiertes Zertifikat zu erhalten, übermitteln Sie die CSR an Ihren Schlüsselserveranbieter.
    Das Zertifikat muss im PEM-Format sein. Wenn das Zertifikat in einem anderen Format als PEM zurückgegeben wird, konvertieren Sie es mithilfe des Befehls openssl in PEM. Beispiel:
    • So konvertieren Sie ein Zertifikat vom CRT- in das PEM-Format:
      openssl x509 -in clientcert.crt -out clientcert.pem -outform PEM
    • So konvertieren Sie ein Zertifikat vom DER- in das PEM-Format:
      openssl x509 -inform DER -in clientcert.der -out clientcert.pem
  6. Wenn Sie das signierte Zertifikat vom Schlüsselserveranbieter erhalten, laden Sie das Zertifikat mithilfe des Set-TrustAuthorityKeyProviderClientCertificate-Cmdlet auf den Schlüsselserver hoch.
    Beispiel:
    Set-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -CertificateFilePath <path/tp/certfile.pem>

Ergebnisse

Der vertrauenswürdige Schlüsselanbieter hat eine Vertrauensstellung mit dem Schlüsselserver hergestellt.