Zertifikat und privaten Schlüssel zum Herstellen einer vertrauenswürdigen Verbindung des Standardschlüsselanbieters hochladen

Einige Anbieter von Schlüsselservern (KMS) fordern, dass Sie den vertrauenswürdigen Schlüsselanbieter mit dem Clientzertifikat und dem vom Schlüsselserver bereitgestellten privaten Schlüssel konfigurieren. Nach der Konfiguration des vertrauenswürdigen Schlüsselanbieters akzeptiert der Schlüsselserver den Datenverkehr vom vertrauenswürdigen Schlüsselanbieter.

Voraussetzungen

Aktivieren des Trust Authority-Administrators.
Aktivieren des Trust Authority-Status.
Erfassen von Informationen zu ESXi-Hosts und dem vertrauenswürdigen vCenter Server.
Importieren der Informationen des vertrauenswürdigen Hosts in den Trust Authority-Cluster.
Erstellen des Schlüsselanbieters im Trust Authority-Cluster.
Fordern Sie ein Zertifikat und einen privaten Schlüssel im PEM-Format vom Schlüsselserver-Anbieter an. Wenn das Zertifikat in einem anderen Format als PEM zurückgegeben wird, konvertieren Sie es in PEM. Wenn der private Schlüssel mit einem Kennwort geschützt ist, erstellen Sie eine PEM-Datei mit entferntem Kennwort. Sie können den Befehl openssl für beide Vorgänge verwenden. Beispiel:
- So konvertieren Sie ein Zertifikat vom CRT- in das PEM-Format:
```
openssl x509 -in clientcert.crt -out clientcert.pem -outform PEM
```
- So konvertieren Sie ein Zertifikat vom DER- in das PEM-Format:
```
openssl x509 -inform DER -in clientcert.der -out clientcert.pem
```
- So entfernen Sie das Kennwort aus einem privaten Schlüssel:
```
openssl rsa -in key.pem -out keynopassword.pem
Enter pass phrase for key.pem:
writing RSA key
```

Prozedur

Stellen Sie sicher, dass Sie mit dem vCenter Server des Trust Authority-Clusters verbunden sind. Sie können beispielsweise $global:defaultviservers eingeben, um alle verbundenen Server anzuzeigen.
(Optional) Sie können gegebenenfalls die folgenden Befehle ausführen, um sicherzustellen, dass Sie mit dem vCenter Server des Trust Authority-Clusters verbunden sind.
```
Disconnect-VIServer -server * -Confirm:$false
Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
```
Weisen Sie die Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA-Informationen einer Variable zu.
Beispiel:
```
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
```
Wenn Sie diese Aufgaben nacheinander ausführen, haben Sie die Get-TrustAuthorityCluster-Informationen zuvor einer Variable zugewiesen (z. B. $vTA = Get-TrustAuthorityCluster 'vTA Cluster').
Die $kp-Variable erhält die vertrauenswürdigen Schlüsselanbieter im Trust Authority-Cluster, in diesem Fall $vTA.
Hinweis: Wenn Sie über mehrere vertrauenswürdige Schlüsselanbieter verfügen, verwenden Sie Befehle ähnlich den folgenden, um den gewünschten Anbieter auszuwählen:
```
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
<The trusted key providers listing is displayed.>
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1
```
Mit Select-Object -Last 1 wird der letzte vertrauenswürdige Schlüsselanbieter in der Liste angezeigt.

Laden Sie das Zertifikat und den privaten Schlüssel mithilfe des Befehls Set-TrustAuthorityKeyProviderClientCertificate hoch.

Beispiel:

Set-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -CertificateFilePath <path/to/certfile.pem> -PrivateKeyFilePath <path/to/privatekey.pem>

Ergebnisse

Der vertrauenswürdige Schlüsselanbieter hat eine Vertrauensstellung mit dem Schlüsselserver hergestellt.