Damit der Schlüsselanbieterdienst eine Verbindung mit einem Schlüsselanbieter herstellen kann, müssen Sie einen vertrauenswürdigen Schlüsselanbieter erstellen und dann eine vertrauenswürdige Verbindung zwischen dem vSphere Trust Authority-Cluster und dem Schlüsselserver (KMS) konfigurieren. Für die meisten KMIP-kompatiblen Schlüsselserver beinhaltet diese Konfiguration die Einrichtung von Client- und Serverzertifikaten.
Der KMS-Cluster in vSphere 6.7 wird in vSphere 7.0 als Schlüsselanbieter bezeichnet. Weitere Informationen zu Schlüsselanbietern finden Sie unter Was ist der vSphere Trust Authority-Schlüsselanbieterdienst?.
In einer Produktionsumgebung können Sie mehrere Schlüsselanbieter erstellen. Indem Sie mehrere Schlüsselanbieter erstellen, können Sie festlegen, wie Ihre Bereitstellung basierend auf Unternehmensorganisation, verschiedenen Geschäftsbereichen oder Kunden usw. verwaltet werden soll.
Wenn Sie diese Aufgaben nacheinander ausführen, sind Sie weiterhin mit dem vCenter Server des vSphere Trust Authority-Clusters verbunden.
Voraussetzungen
- Aktivieren des Trust Authority-Administrators.
- Aktivieren des Trust Authority-Status.
- Erfassen von Informationen zu ESXi-Hosts und dem vertrauenswürdigen vCenter Server.
- Importieren der Informationen des vertrauenswürdigen Hosts in den Trust Authority-Cluster.
- Erstellen und aktivieren Sie einen Schlüssel auf dem Schlüsselserver, der der primäre Schlüssel für den vertrauenswürdigen Schlüsselanbieter sein soll. Dieser Schlüssel umhüllt andere Schlüssel und Geheimnisse, die von diesem vertrauenswürdigen Schlüsselanbieter verwendet werden. Weitere Informationen zum Erstellen von Schlüsseln finden Sie in der Dokumentation des Schlüsselserverherstellers.
Prozedur
Ergebnisse
Der vertrauenswürdige Schlüsselanbieter wurde erstellt und hat eine vertrauenswürdige Verbindung mit dem Schlüsselserver hergestellt.
Beispiel: Erstellen des Schlüsselanbieters im Trust Authority-Cluster
Dieses Beispiel zeigt, wie Sie den vertrauenswürdigen Schlüsselanbieter mithilfe der PowerCLI im Trust Authority-Cluster erstellen können. Es wird davon ausgegangen, dass Sie als Trust Authority-Administrator mit dem vCenter Server des Trust Authority-Clusters verbunden sind. Zudem wird ein Zertifikat verwendet, das vom Schlüsselserveranbieter signiert wurde, nachdem eine CSR an den Anbieter übermittelt wurde.
In der folgenden Tabelle werden die verwendeten Beispielkomponenten und -werte angezeigt.
Komponente | Wert |
---|---|
Variable $vTA |
Get-TrustAuthorityCluster 'vTA Cluster' |
Variable $kp |
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA |
Variable $cert |
Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers |
vCenter Server für Trust Authority-Cluster | 192.168.210.22 |
KMIP-kompatibler Schlüsselserver | 192.168.110.91 |
KMIP-konformer Schlüsselserverbenutzer | vcqekmip |
Name des Trust Authority-Clusters | vTA-Cluster |
Trust Authority-Administrator | [email protected] |
PS C:\Users\Administrator.CORP> Disconnect-VIServer -server * -Confirm:$false PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!' PS C:\Users\Administrator.CORP> New-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA -PrimaryKeyId 8 -Name clkp -KmipServerAddress 192.168.110.91 Name PrimaryKeyId Type TrustAuthorityClusterId ---- ------------ ---- ----------------------- clkp 8 KMIP TrustAuthorityCluster-domain-c8 PS C:\Users\Administrator.CORP> New-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp <Export the client certificate when you need to use it.> PS C:\Users\Administrator.CORP> Export-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -FilePath clientcert.pem PS C:\Users\Administrator.CORP> $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA PS C:\Users\Administrator.CORP> Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers Certificate Trusted KeyProviderServerId KeyProviderId ----------- ------- ------------------- ------------- [Subject]... False domain-c8-clkp:192.16.... domain-c8-clkp PS C:\WINDOWS\system32> $cert.Certificate.ToString() [Subject] E=<domain>, CN=<IP address>, OU=VMware Engineering, O=VMware, L=Palo Alto, S=California, C=US [Issuer] O=<host>.eng.vmware.com, C=US, DC=local, DC=vsphere, CN=CA [Serial Number] 00CEF192BBF9D80C9F [Not Before] 8/10/2015 4:16:12 PM [Not After] 8/9/2020 4:16:12 PM [Thumbprint] C44068C124C057A3D07F51DCF18720E963604B70 PS C:\Users\Administrator.CORP> $cert = Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers PS C:\Users\Administrator.CORP> Add-TrustAuthorityKeyProviderServerCertificate -ServerCertificate $cert Certificate Trusted KeyProviderServerId KeyProviderId ----------- ------- ------------------- ------------- [Subject]... True domain-c8-clkp PS C:\Users\Administrator.CORP> $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA PS C:\Users\Administrator.CORP> $kp.Status KeyProviderId Health HealthDetails ServerStatus ------------- ------ ------------- ------------ domain-c8-kp4 Ok {} {192.168.210.22}
Nächste Maßnahme
Fahren Sie mit Exportieren der Informationen des Trust Authority-Clusters fort.