Damit der Schlüsselanbieterdienst eine Verbindung mit einem Schlüsselanbieter herstellen kann, müssen Sie einen vertrauenswürdigen Schlüsselanbieter erstellen und dann eine vertrauenswürdige Verbindung zwischen dem vSphere Trust Authority-Cluster und dem Schlüsselserver (KMS) konfigurieren. Für die meisten KMIP-kompatiblen Schlüsselserver beinhaltet diese Konfiguration die Einrichtung von Client- und Serverzertifikaten.

Was zuvor in vSphere 6.7 als KMS-Cluster bezeichnet wurde, heißt in vSphere 7.0 und höher nun Schlüsselanbieter. Weitere Informationen zu Speicheranbietern finden Sie unter Was ist der vSphere Trust Authority-Schlüsselanbieterdienst?.

In einer Produktionsumgebung können Sie mehrere Schlüsselanbieter erstellen. Indem Sie mehrere Schlüsselanbieter erstellen, können Sie festlegen, wie Ihre Bereitstellung basierend auf Unternehmensorganisation, verschiedenen Geschäftsbereichen oder Kunden usw. verwaltet werden soll.

Wenn Sie diese Aufgaben nacheinander ausführen, sind Sie weiterhin mit dem vCenter Server des vSphere Trust Authority-Clusters verbunden.

Voraussetzungen

Prozedur

  1. Stellen Sie sicher, dass Sie mit dem vCenter Server des Trust Authority-Clusters verbunden sind. Sie können beispielsweise $global:defaultviservers eingeben, um alle verbundenen Server anzuzeigen.
  2. (Optional) Sie können gegebenenfalls die folgenden Befehle ausführen, um sicherzustellen, dass Sie mit dem vCenter Server des Trust Authority-Clusters verbunden sind.
    Disconnect-VIServer -server * -Confirm:$false
    Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
  3. Um einen vertrauenswürdigen Schlüsselanbieter zu erstellen, führen Sie das New-TrustAuthorityKeyProvider-Cmdlet aus.
    Dieser Befehl verwendet beispielsweise 1 für die PrimaryKeyID und den Namen clkp. Wenn Sie diese Aufgaben nacheinander ausführen, haben Sie die Get-TrustAuthorityCluster-Informationen zuvor einer Variable zugewiesen (z. B. $vTA = Get-TrustAuthorityCluster 'vTA Cluster').
    New-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA -PrimaryKeyId 1 -Name clkp -KmipServerAddress ip_address
    Die PrimaryKeyID ist in der Regel eine Schlüssel-ID, die in Form einer UUID aus dem Schlüsselserver stammt. Verwenden Sie für PrimaryKeyID nicht den Schlüsselnamen. Der PrimaryKeyID-Wert ist vom Anbieter abhängig. Informationen finden Sie in der Dokumentation des Schlüsselservers. Das New-TrustAuthorityKeyProvider-Cmdlet kann andere Optionen wie z. B. KmipServerPort, ProxyAddress und ProxyPort nutzen. Weitere Informationen finden Sie im New-TrustAuthorityKeyProvider-Hilfesystem.

    Jeder logische Schlüsselanbieter muss unabhängig von seinem Typ (Standard-, vertrauenswürdiger und nativer Schlüsselanbieter) über einen eindeutigen Namen in allen vCenter Server-Systemen verfügen.

    Weitere Informationen finden Sie unter Benennung des Schlüsselanbieters.

    Hinweis: Um dem Schlüsselanbieter mehrere Schlüsselserver hinzuzufügen, verwenden Sie das Add-TrustAuthorityKeyProviderServer-Cmdlet.
    Informationen zum Schlüsselanbieter werden angezeigt.
  4. Stellen Sie die vertrauenswürdige Verbindung sicher, sodass der Schlüsselserver dem vertrauenswürdigen Schlüsselanbieter vertraut. Der genaue Prozess hängt von den Zertifikaten, die vom Schlüsselserver akzeptiert werden, sowie von der Unternehmensrichtlinie ab. Wählen Sie die entsprechende Option für den Server aus und schließen Sie die Schritte ab.
    Option Informationen hierzu finden Sie unter
    Clientzertifikat hochladen Hochladen des Clientzertifikats zum Herstellen einer vertrauenswürdigen Verbindung des vertrauenswürdigen Schlüsselanbieters.
    KMS-Zertifikat und privaten Schlüssel hochladen Zertifikat und privaten Schlüssel zum Herstellen einer vertrauenswürdigen Verbindung des Standardschlüsselanbieters hochladen.
    Neue Zertifikatssignieranforderung Eine Zertifikatssignieranforderung zum Herstellen einer vertrauenswürdigen Schlüsselanbieter-Verbindung erstellen.
  5. Schließen Sie das Trust-Setup ab, indem Sie ein Schlüsselserverzertifikat hochladen, damit der vertrauenswürdige Schlüsselanbieter dem Schlüsselserver vertraut.
    1. Weisen Sie die Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA-Informationen einer Variable zu.
      Beispiel:
      $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA

      Diese Variable erhält die vertrauenswürdigen Schlüsselanbieter im Trust Authority-Cluster, in diesem Fall $vTA.

      Hinweis: Wenn Sie über mehrere vertrauenswürdige Schlüsselanbieter verfügen, verwenden Sie Befehle ähnlich den folgenden, um den gewünschten Anbieter auszuwählen:
      Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
      <The trusted key providers listing is displayed.>
      $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1
      

      Mit Select-Object -Last 1 wird der letzte vertrauenswürdige Schlüsselanbieter in der Liste angezeigt.

    2. Führen Sie den Befehl Get-TrustAuthorityKeyProviderServerCertificate aus, um das Serverzertifikat des Schlüsselservers abzurufen.
      Beispiel:
      Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers
      Die Serverzertifikatinformationen werden angezeigt. Anfänglich ist das Zertifikat nicht als vertrauenswürdig eingestuft, d. h., der vertrauenswürdige Zustand lautet „False“. Wenn Sie mehr als einen Schlüsselserver konfiguriert haben, wird eine Zertifikatsliste zurückgegeben. Überprüfen Sie jedes Zertifikat und fügen Sie jedes davon hinzu, indem Sie die folgenden Anweisungen befolgen.
    3. Bevor Sie dem Zertifikat vertrauen, weisen Sie die Informationen aus Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers einer Variablen zu (z. B. cert), führen Sie den Befehl $cert.Certificate.ToString() aus und überprüfen Sie die Ausgabe.
      Beispiel:
      $cert = Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers
      $cert.Certificate.ToString()
      Die Zertifikatsinformationen werden angezeigt, einschließlich Thema, Aussteller und sonstiger Informationen.
    4. Um dem vertrauenswürdigen Schlüsselanbieter das KMIP-Serverzertifikat hinzuzufügen, führen Sie Add-TrustAuthorityKeyProviderServerCertificate aus.
      Beispiel:
      Add-TrustAuthorityKeyProviderServerCertificate -ServerCertificate $cert
      
      Die Zertifikatsinformationen werden angezeigt und der vertrauenswürdige Zustand lautet nun „True“.
  6. Überprüfen Sie den Status des Schlüsselanbieters.
    1. Um den Schlüsselanbieterstatus zu aktualisieren, weisen Sie die $kp-Variable neu zu.
      Beispiel:
      $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
      Hinweis: Wenn Sie über mehrere vertrauenswürdige Schlüsselanbieter verfügen, verwenden Sie Befehle ähnlich den folgenden, um den gewünschten Anbieter auszuwählen:
      Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
      <The trusted key providers listing is displayed.>
      $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1
      

      Mit Select-Object -Last 1 wird der letzte vertrauenswürdige Schlüsselanbieter in der Liste angezeigt.

    2. Führen Sie den Befehl $kp.Status aus, um den Schlüsselanbieterstatus anzuzeigen.
      Beispiel:
      $kp.Status
      Hinweis: Die Statusaktualisierung kann einige Minuten dauern. Um den Status anzuzeigen, weisen Sie die Variable $kp erneut zu und führen Sie den Befehl $kp.Status erneut aus.
    Ein Systemzustand von „OK“ weist darauf hin, dass der Schlüsselanbieter ordnungsgemäß ausgeführt wird.

Ergebnisse

Der vertrauenswürdige Schlüsselanbieter wurde erstellt und hat eine vertrauenswürdige Verbindung mit dem Schlüsselserver hergestellt.

Beispiel: Erstellen des Schlüsselanbieters im Trust Authority-Cluster

Dieses Beispiel zeigt, wie Sie den vertrauenswürdigen Schlüsselanbieter mithilfe der PowerCLI im Trust Authority-Cluster erstellen können. Es wird davon ausgegangen, dass Sie als Trust Authority-Administrator mit dem vCenter Server des Trust Authority-Clusters verbunden sind. Zudem wird ein Zertifikat verwendet, das vom Schlüsselserveranbieter signiert wurde, nachdem eine CSR an den Anbieter übermittelt wurde.

In der folgenden Tabelle werden die verwendeten Beispielkomponenten und -werte angezeigt.

Tabelle 1. Beispiel eines vSphere Trust Authority-Setups
Komponente Wert
Variable $vTA Get-TrustAuthorityCluster 'vTA Cluster'
Variable $kp Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
Variable $cert Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers
vCenter Server für Trust Authority-Cluster 192.168.210.22
KMIP-kompatibler Schlüsselserver 192.168.110.91
KMIP-konformer Schlüsselserverbenutzer vcqekmip
Name des Trust Authority-Clusters vTA-Cluster
Trust Authority-Administrator [email protected]
PS C:\Users\Administrator.CORP> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!'

PS C:\Users\Administrator.CORP> New-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA -PrimaryKeyId 8 -Name clkp -KmipServerAddress 192.168.110.91
Name                 PrimaryKeyId         Type       TrustAuthorityClusterId
----                 ------------         ----       -----------------------
clkp                 8                    KMIP       TrustAuthorityCluster-domain-c8

PS C:\Users\Administrator.CORP> New-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp
<Export the client certificate when you need to use it.>
PS C:\Users\Administrator.CORP> Export-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -FilePath clientcert.pem

PS C:\Users\Administrator.CORP> $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
PS C:\Users\Administrator.CORP> Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers

Certificate                              Trusted    KeyProviderServerId       KeyProviderId
-----------                              -------    -------------------       -------------
[Subject]...                             False      domain-c8-clkp:192.16.... domain-c8-clkp

PS C:\WINDOWS\system32> $cert.Certificate.ToString()
[Subject]
  E=<domain>, CN=<IP address>, OU=VMware Engineering, O=VMware, L=Palo Alto, S=California, C=US

[Issuer]
  O=<host>.eng.vmware.com, C=US, DC=local, DC=vsphere, CN=CA

[Serial Number]
  00CEF192BBF9D80C9F

[Not Before]
  8/10/2015 4:16:12 PM

[Not After]
  8/9/2020 4:16:12 PM

[Thumbprint]
  C44068C124C057A3D07F51DCF18720E963604B70

PS C:\Users\Administrator.CORP> $cert = Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers
PS C:\Users\Administrator.CORP> Add-TrustAuthorityKeyProviderServerCertificate -ServerCertificate $cert

Certificate                              Trusted    KeyProviderServerId       KeyProviderId
-----------                              -------    -------------------       -------------
[Subject]...                             True                                 domain-c8-clkp

PS C:\Users\Administrator.CORP> $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
PS C:\Users\Administrator.CORP> $kp.Status

KeyProviderId Health HealthDetails ServerStatus
------------- ------ ------------- ------------
domain-c8-kp4     Ok {}            {192.168.210.22}

Nächste Maßnahme

Fahren Sie mit Exportieren der Informationen des Trust Authority-Clusters fort.