Zum Aufbau einer Vertrauensstellung benötigt der vSphere Trust Authority-Cluster Informationen über die ESXi-Hosts und den vCenter Server des vertrauenswürdigen Clusters. Sie exportieren diese Informationen als Dateien, die in den Trust Authority-Cluster importiert werden. Sie müssen sicherstellen, dass diese Dateien vertraulich behandelt und sicher übertragen werden.

Mithilfe von vSphere Trust Authority PowerCLI-Cmdlets exportieren Sie die folgenden Informationen als Dateien aus den ESXi-Hosts im vertrauenswürdigen Cluster, damit der Trust Authority-Cluster die vertrauenswürdige Software und Hardware erkennt.

  • ESXi-Version
  • TPM-Hersteller (CA-Zertifikat)
  • (Optional) Einzelnes TPM (EK-Zertifikat)
Hinweis: Speichern Sie diese exportierten Dateien an einem sicheren Ort für den Fall, dass Sie die vSphere Trust Authority-Konfiguration wiederherstellen müssen.

Wenn Sie über Hosts desselben Typs und Anbieters verfügen und diese im selben Zeitraum und am selben Ort hergestellt wurden, können Sie unter Umständen alle TPMs als vertrauenswürdig einstufen, indem Sie das CA-Zertifikat nur eines der TPMs abrufen. Um einem einzelnen TPM als vertrauenswürdig einzustufen, rufen Sie das EK-Zertifikat des TPM ab.

Sie müssen auch die Prinzipalinformationen aus dem vCenter Server des vertrauenswürdigen Clusters abrufen. Die Prinzipalinformationen enthalten den Lösungsbenutzer „vpxd“ sowie dessen Zertifikatskette. Mithilfe der Prinzipalinformationen kann der vCenter Server des vertrauenswürdigen Clusters die verfügbaren vertrauenswürdigen Schlüsselanbieter ermitteln, die im Trust Authority-Cluster konfiguriert sind.

Für die erstmalige Konfiguration von vSphere Trust Authority müssen Sie die ESXi-Version und die TPM-Informationen erfassen. Sie müssen auch die ESXi-Version bei jeder Bereitstellung einer neuen Version von ESXi erfassen, so auch beim Upgraden oder Anwenden eines Patches.

Sie erfassen die Informationen des vCenter Server-Prinzipals nur einmal pro vCenter Server-System.

Voraussetzungen

  • Geben Sie die ESXi-Versionen und TPM-Hardwaretypen an, die sich im vertrauenswürdigen Cluster befinden, und legen Sie fest, ob Sie alle TPM-Hardwaretypen, nur bestimmte oder einzelne Hosts als vertrauenswürdig einstufen möchten.
  • Erstellen Sie auf der Maschine, von der aus Sie die PowerCLI ausführen, einen lokalen Ordner, in dem die Informationen, die Sie als Dateien exportieren, gespeichert werden sollen.
  • Aktivieren des Trust Authority-Administrators.
  • Aktivieren des Trust Authority-Status.

Prozedur

  1. Führen Sie in einer PowerCLI-Sitzung die folgenden Befehle aus, um alle bestehenden Verbindungen zu trennen und als Root-Benutzer eine Verbindung zu einem der ESXi-Hosts im vertrauenswürdigen Cluster herzustellen.
    Disconnect-VIServer -server * -Confirm:$false
    Connect-VIServer -server host_ip_address -User root -Password 'password'
  2. Starten Sie das Get-VMHost-Cmdlet, um den ESXi-Host zu bestätigen.
    Get-VMHost
    Die Hostinformationen werden angezeigt.
  3. Weisen Sie Get-VMHost einer Variable zu.
    Beispiel:
    $vmhost = Get-VMHost
  4. Führen Sie das Export-Tpm2CACertificate-Cmdlet aus, um das CA-Zertifikat eines bestimmten TPM-Herstellers zu exportieren.
    1. Weisen Sie Get-Tpm2EndorsementKey -VMHost $vmhost einer Variable zu.
      Mit diesem Befehl wird beispielsweise Get-Tpm2EndorsementKey -VMHost $vmhost der Variable $tpm2 zugewiesen.
      $tpm2 = Get-Tpm2EndorsementKey -VMHost $vmhost
    2. Führen Sie das Export-Tpm2CACertificate-cmdlet aus.
      Mit diesem Befehl wird beispielsweise das TPM-Zertifikat in die Datei cacert.zip exportiert. Stellen Sie vor dem Ausführen des Befehls sicher, dass das Zielverzeichnis bereits vorhanden ist.
      Export-Tpm2CACertificate -Tpm2EndorsementKey $tpm2 -FilePath C:\vta\cacert.zip
      Die Datei wird erstellt.
    3. Wiederholen Sie den Vorgang für jeden TPM-Hardwaretyp im Cluster, den Sie als vertrauenswürdig einstufen möchten. Verwenden Sie einen anderen Dateinamen für jeden TMP-Hardwaretyp, sodass Sie eine zuvor exportierte Datei nicht überschreiben.
  5. Führen Sie das Export-VMHostImageDb-Cmdlet aus, um die Beschreibung der Software des ESXi-Hosts (das ESXi-Image) zu exportieren.
    Mit diesem Befehl werden beispielsweise die Informationen in die Datei image.tgz exportiert. Stellen Sie vor dem Ausführen des Befehls sicher, dass das Zielverzeichnis bereits vorhanden ist.
    Export-VMHostImageDb -VMHost $vmhost -FilePath C:\vta\image.tgz
    Hinweis: Das Export-VMHostImageDb-Cmdlet funktioniert auch, wenn Sie sich beim vCenter Server des vertrauenswürdigen Clusters anmelden möchten.
    Die Datei wird erstellt.

    Wiederholen Sie diese Schritte für jede ESXi-Version im Cluster, den Sie als vertrauenswürdig einstufen möchten. Verwenden Sie für jede Version einen anderen Dateinamen, damit Sie eine zuvor exportierte Datei nicht überschreiben.

  6. Exportieren Sie die vCenter Server-Prinzipalinformationen des vertrauenswürdigen Clusters.
    1. Trennen Sie die Verbindung zum ESXi-Host.
      Disconnect-VIServer -server * -Confirm:$false
    2. Stellen Sie mithilfe des Trust Authority-Administrators eine Verbindung zum vCenter Server des vertrauenswürdigen Clusters her. (Alternativ können Sie einen Benutzer verwenden, der über Administrator-Rechte verfügt.)
      Connect-VIServer -server TrustedCluster_VC_ip_address -User trust_admin_user -Password 'password'
    3. Um die vCenter Server-Prinzipalinformationen des vertrauenswürdigen Clusters zu exportieren, führen Sie das Export-TrustedPrincipal-Cmdlet aus.
      Mit diesem Befehl werden beispielsweise die Informationen in die Datei principal.json exportiert. Stellen Sie vor dem Ausführen des Befehls sicher, dass das Zielverzeichnis bereits vorhanden ist.
      Export-TrustedPrincipal -FilePath C:\vta\principal.json
      Die Datei wird erstellt.
  7. (Optional) Wenn Sie einen einzelnen Host als vertrauenswürdig einstufen möchten, müssen Sie das TPM-Zertifikat des öffentlichen EK-Schlüssels exportieren.
    Weitere Informationen hierzu finden Sie unter Exportieren und Importieren eines TPM Endorsement Key-Zertifikats.

Ergebnisse

Die folgenden Dateien werden erstellt:

  • CA-Zertifikatsdatei des TPM (Dateierweiterung „zip“)
  • ESXi-Image-Datei (Dateierweiterung „tgz“)
  • vCenter Server-Prinzipaldatei (Dateierweiterung „json“)

Beispiel: Erfassen von Informationen zu ESXi-Hosts und zum vertrauenswürdigen vCenter Server

In diesem Beispiel wird die Verwendung der PowerCLI zum Exportieren der ESXi-Hostinformationen und der vCenter Server-Prinzipalinformationen erläutert. In der folgenden Tabelle werden die verwendeten Beispielkomponenten und -werte angezeigt.

Tabelle 1. Beispiel eines vSphere Trust Authority-Setups
Komponente Wert
ESXi-Host im vertrauenswürdigen Cluster 192.168.110.51
vCenter Server für vertrauenswürdigen Cluster 192.168.110.22
Variable $vmhost Get-VMHost
Variable $tpm2 Get-Tpm2EndorsementKey -VMHost $vmhost
Trust Authority-Administrator trustedadmin@vsphere.local
Lokales Verzeichnis zum Speichern von Ausgabedateien C:\vta
PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.110.51 -User root -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.110.51                  443  root

PS C:\Users\Administrator.CORP> Get-VMHost

Name               ConnectionState PowerState NumCpu CpuUsageMhz CpuTotalMhz MemoryUsageGB MemoryTotalGB Version
----               --------------- ---------- ------ ----------- ----------- ------------- ------------- -------
192.168.110.51     Connected       PoweredOn       4         200        9576         1.614         7.999   7.0.0

PS C:\Users\Administrator.CORP> $vmhost = Get-VMHost
PS C:\Users\Administrator.CORP> $tpm2 = Get-Tpm2EndorsementKey -VMHost $vmhost
PS C:\> Export-Tpm2CACertificate -Tpm2EndorsementKey $tpm2 -FilePath C:\vta\cacert.zip

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----        10/8/2019   6:55 PM           1004 cacert.zip

PS C:\Users\Administrator.CORP> Export-VMHostImageDb -VMHost $vmhost -FilePath C:\vta\image.tgz

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----         10/8/2019  11:02 PM          2391 image.tgz

PS C:\Users\Administrator.CORP> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.110.22 -User trustedadmin@vsphere.local -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.110.22                  443  VSPHERE.LOCAL\trustedadmin

PS C:\Users\Administrator.CORP> Export-TrustedPrincipal -FilePath C:\vta\principal.json

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----         10/8/2019  11:14 PM           1873 principal.json

Nächste Maßnahme

Fahren Sie mit Importieren der Informationen des vertrauenswürdigen Hosts in den Trust Authority-Cluster fort.