Erstellen des Schlüsselanbieters im Trust Authority-Cluster

Damit der Schlüsselanbieterdienst eine Verbindung mit einem Schlüsselanbieter herstellen kann, müssen Sie einen vertrauenswürdigen Schlüsselanbieter erstellen und dann eine vertrauenswürdige Verbindung zwischen dem vSphere Trust Authority-Cluster und dem Schlüsselserver (KMS) konfigurieren. Für die meisten KMIP-kompatiblen Schlüsselserver beinhaltet diese Konfiguration die Einrichtung von Client- und Serverzertifikaten.

Der KMS-Cluster in vSphere 6.7 wird in vSphere 7.0 als Schlüsselanbieter bezeichnet. Weitere Informationen zu Schlüsselanbietern finden Sie unter Was ist der vSphere Trust Authority-Schlüsselanbieterdienst?.

In einer Produktionsumgebung können Sie mehrere Schlüsselanbieter erstellen. Indem Sie mehrere Schlüsselanbieter erstellen, können Sie festlegen, wie Ihre Bereitstellung basierend auf Unternehmensorganisation, verschiedenen Geschäftsbereichen oder Kunden usw. verwaltet werden soll.

Wenn Sie diese Aufgaben nacheinander ausführen, sind Sie weiterhin mit dem vCenter Server des vSphere Trust Authority-Clusters verbunden.

Voraussetzungen

Aktivieren des Trust Authority-Administrators.
Aktivieren des Trust Authority-Status.
Erfassen von Informationen zu ESXi-Hosts und dem vertrauenswürdigen vCenter Server.
Importieren der Informationen des vertrauenswürdigen Hosts in den Trust Authority-Cluster.
Erstellen und aktivieren Sie einen Schlüssel auf dem Schlüsselserver, der der primäre Schlüssel für den vertrauenswürdigen Schlüsselanbieter sein soll. Dieser Schlüssel umhüllt andere Schlüssel und Geheimnisse, die von diesem vertrauenswürdigen Schlüsselanbieter verwendet werden. Weitere Informationen zum Erstellen von Schlüsseln finden Sie in der Dokumentation des Schlüsselserverherstellers.

Prozedur

Stellen Sie sicher, dass Sie mit dem vCenter Server des Trust Authority-Clusters verbunden sind. Sie können beispielsweise $global:defaultviservers eingeben, um alle verbundenen Server anzuzeigen.
(Optional) Sie können gegebenenfalls die folgenden Befehle ausführen, um sicherzustellen, dass Sie mit dem vCenter Server des Trust Authority-Clusters verbunden sind.
```
Disconnect-VIServer -server * -Confirm:$false
Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
```
Um einen vertrauenswürdigen Schlüsselanbieter zu erstellen, führen Sie das New-TrustAuthorityKeyProvider-Cmdlet aus.
Dieser Befehl verwendet beispielsweise 1 für die PrimaryKeyID und den Namen clkp. Wenn Sie diese Aufgaben nacheinander ausführen, haben Sie die Get-TrustAuthorityCluster-Informationen zuvor einer Variable zugewiesen (z. B. $vTA = Get-TrustAuthorityCluster 'vTA Cluster').
```
New-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA -PrimaryKeyId 1 -Name clkp -KmipServerAddress ip_address
```
Die PrimaryKeyID ist in der Regel eine Schlüssel-ID, die in Form einer UUID aus dem Schlüsselserver stammt. Verwenden Sie für PrimaryKeyID nicht den Schlüsselnamen. Der PrimaryKeyID-Wert ist vom Anbieter abhängig. Informationen finden Sie in der Dokumentation des Schlüsselservers. Das New-TrustAuthorityKeyProvider-Cmdlet kann andere Optionen wie z. B. KmipServerPort, ProxyAddress und ProxyPort nutzen. Weitere Informationen finden Sie im New-TrustAuthorityKeyProvider-Hilfesystem.
Jeder logische Schlüsselanbieter muss unabhängig von seinem Typ (Standard-, vertrauenswürdiger und nativer Schlüsselanbieter) über einen eindeutigen Namen in allen vCenter Server-Systemen verfügen.

Weitere Informationen finden Sie unter Benennung des Schlüsselanbieters.

Hinweis: Um dem Schlüsselanbieter mehrere Schlüsselserver hinzuzufügen, verwenden Sie das Add-TrustAuthorityKeyProviderServer-Cmdlet.

Informationen zum Schlüsselanbieter werden angezeigt.

Stellen Sie die vertrauenswürdige Verbindung sicher, sodass der Schlüsselserver dem vertrauenswürdigen Schlüsselanbieter vertraut. Der genaue Prozess hängt von den Zertifikaten, die vom Schlüsselserver akzeptiert werden, sowie von der Unternehmensrichtlinie ab. Wählen Sie die entsprechende Option für den Server aus und schließen Sie die Schritte ab.

Option	Informationen hierzu finden Sie unter
Clientzertifikat hochladen	Hochladen des Clientzertifikats zum Herstellen einer vertrauenswürdigen Verbindung des vertrauenswürdigen Schlüsselanbieters.
KMS-Zertifikat und privaten Schlüssel hochladen	Zertifikat und privaten Schlüssel zum Herstellen einer vertrauenswürdigen Verbindung des Standardschlüsselanbieters hochladen.
Neue Zertifikatssignieranforderung	Eine Zertifikatssignieranforderung zum Herstellen einer vertrauenswürdigen Schlüsselanbieter-Verbindung erstellen.

Schließen Sie das Trust-Setup ab, indem Sie ein Schlüsselserverzertifikat hochladen, damit der vertrauenswürdige Schlüsselanbieter dem Schlüsselserver vertraut.
1. Weisen Sie die Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA-Informationen einer Variable zu.
  Beispiel:
```
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
```
  Diese Variable erhält die vertrauenswürdigen Schlüsselanbieter im Trust Authority-Cluster, in diesem Fall $vTA.
  
  Hinweis: Wenn Sie über mehrere vertrauenswürdige Schlüsselanbieter verfügen, verwenden Sie Befehle ähnlich den folgenden, um den gewünschten Anbieter auszuwählen:
```
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
<The trusted key providers listing is displayed.>
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1
```
  Mit Select-Object -Last 1 wird der letzte vertrauenswürdige Schlüsselanbieter in der Liste angezeigt.
2. Führen Sie den Befehl Get-TrustAuthorityKeyProviderServerCertificate aus, um das Serverzertifikat des Schlüsselservers abzurufen.
  Beispiel:
```
Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers
```
  Die Serverzertifikatinformationen werden angezeigt. Anfänglich ist das Zertifikat nicht als vertrauenswürdig eingestuft, d. h., der vertrauenswürdige Zustand lautet „False“. Wenn Sie mehr als einen Schlüsselserver konfiguriert haben, wird eine Zertifikatsliste zurückgegeben. Überprüfen Sie jedes Zertifikat und fügen Sie jedes davon hinzu, indem Sie die folgenden Anweisungen befolgen.
3. Bevor Sie dem Zertifikat vertrauen, weisen Sie die Informationen aus Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers einer Variablen zu (z. B. cert), führen Sie den Befehl $cert.Certificate.ToString() aus und überprüfen Sie die Ausgabe.
  Beispiel:
```
$cert = Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers
$cert.Certificate.ToString()
```
  Die Zertifikatsinformationen werden angezeigt, einschließlich Thema, Aussteller und sonstiger Informationen.
4. Um dem vertrauenswürdigen Schlüsselanbieter das KMIP-Serverzertifikat hinzuzufügen, führen Sie Add-TrustAuthorityKeyProviderServerCertificate aus.
  Beispiel:
```
Add-TrustAuthorityKeyProviderServerCertificate -ServerCertificate $cert
```
  Die Zertifikatsinformationen werden angezeigt und der vertrauenswürdige Zustand lautet nun „True“.
Überprüfen Sie den Status des Schlüsselanbieters.
1. Um den Schlüsselanbieterstatus zu aktualisieren, weisen Sie die $kp-Variable neu zu.
  Beispiel:
```
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
```
  Hinweis: Wenn Sie über mehrere vertrauenswürdige Schlüsselanbieter verfügen, verwenden Sie Befehle ähnlich den folgenden, um den gewünschten Anbieter auszuwählen:
```
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
<The trusted key providers listing is displayed.>
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1
```
  Mit Select-Object -Last 1 wird der letzte vertrauenswürdige Schlüsselanbieter in der Liste angezeigt.
2. Führen Sie den Befehl $kp.Status aus, um den Schlüsselanbieterstatus anzuzeigen.
  Beispiel:
```
$kp.Status
```
  Hinweis: Die Statusaktualisierung kann einige Minuten dauern. Um den Status anzuzeigen, weisen Sie die Variable $kp erneut zu und führen Sie den Befehl $kp.Status erneut aus.
Ein Systemzustand von „OK“ weist darauf hin, dass der Schlüsselanbieter ordnungsgemäß ausgeführt wird.

Ergebnisse

Der vertrauenswürdige Schlüsselanbieter wurde erstellt und hat eine vertrauenswürdige Verbindung mit dem Schlüsselserver hergestellt.

Beispiel: Erstellen des Schlüsselanbieters im Trust Authority-Cluster

Dieses Beispiel zeigt, wie Sie den vertrauenswürdigen Schlüsselanbieter mithilfe der PowerCLI im Trust Authority-Cluster erstellen können. Es wird davon ausgegangen, dass Sie als Trust Authority-Administrator mit dem vCenter Server des Trust Authority-Clusters verbunden sind. Zudem wird ein Zertifikat verwendet, das vom Schlüsselserveranbieter signiert wurde, nachdem eine CSR an den Anbieter übermittelt wurde.

In der folgenden Tabelle werden die verwendeten Beispielkomponenten und -werte angezeigt.

Tabelle 1. Beispiel eines vSphere Trust Authority-Setups
Komponente	Wert
Variable `$vTA`	Get-TrustAuthorityCluster 'vTA Cluster'
Variable `$kp`	Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
Variable `$cert`	Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers
vCenter Server für Trust Authority-Cluster	192.168.210.22
KMIP-kompatibler Schlüsselserver	192.168.110.91
KMIP-konformer Schlüsselserverbenutzer	vcqekmip
Name des Trust Authority-Clusters	vTA-Cluster
Trust Authority-Administrator	[email protected]

PS C:\Users\Administrator.CORP> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!'

PS C:\Users\Administrator.CORP> New-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA -PrimaryKeyId 8 -Name clkp -KmipServerAddress 192.168.110.91
Name                 PrimaryKeyId         Type       TrustAuthorityClusterId
----                 ------------         ----       -----------------------
clkp                 8                    KMIP       TrustAuthorityCluster-domain-c8

PS C:\Users\Administrator.CORP> New-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp
<Export the client certificate when you need to use it.>
PS C:\Users\Administrator.CORP> Export-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -FilePath clientcert.pem

PS C:\Users\Administrator.CORP> $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
PS C:\Users\Administrator.CORP> Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers

Certificate                              Trusted    KeyProviderServerId       KeyProviderId
-----------                              -------    -------------------       -------------
[Subject]...                             False      domain-c8-clkp:192.16.... domain-c8-clkp

PS C:\WINDOWS\system32> $cert.Certificate.ToString()
[Subject]
  E=<domain>, CN=<IP address>, OU=VMware Engineering, O=VMware, L=Palo Alto, S=California, C=US

[Issuer]
  O=<host>.eng.vmware.com, C=US, DC=local, DC=vsphere, CN=CA

[Serial Number]
  00CEF192BBF9D80C9F

[Not Before]
  8/10/2015 4:16:12 PM

[Not After]
  8/9/2020 4:16:12 PM

[Thumbprint]
  C44068C124C057A3D07F51DCF18720E963604B70

PS C:\Users\Administrator.CORP> $cert = Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers
PS C:\Users\Administrator.CORP> Add-TrustAuthorityKeyProviderServerCertificate -ServerCertificate $cert

Certificate                              Trusted    KeyProviderServerId       KeyProviderId
-----------                              -------    -------------------       -------------
[Subject]...                             True                                 domain-c8-clkp

PS C:\Users\Administrator.CORP> $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
PS C:\Users\Administrator.CORP> $kp.Status

KeyProviderId Health HealthDetails ServerStatus
------------- ------ ------------- ------------
domain-c8-kp4     Ok {}            {192.168.210.22}

Nächste Maßnahme

Fahren Sie mit Exportieren der Informationen des Trust Authority-Clusters fort.