Als vSphere-Administrator können Sie das Zertifikat für die virtuelle IP-Adresse (VIP) zur sicheren Verbindung mit dem Supervisor-API-Endpoint durch ein Zertifikat ersetzen, das von einer Zertifizierungsstelle signiert wurde, der Ihre Hosts bereits vertrauen. Das Zertifikat authentifiziert die Kubernetes-Steuerungsebene für DevOps-Techniker, sowohl während der Anmeldung als auch bei nachfolgenden Interaktionen mit dem Supervisor.
Voraussetzungen
Überprüfen Sie, ob Sie Zugriff auf eine Zertifizierungsstelle haben, die CSRs signieren kann. Für DevOps-Techniker muss die Zertifizierungsstelle auf ihrem System als vertrauenswürdiger Root installiert sein.
Navigieren Sie im vSphere Client zu Arbeitslastverwaltung.
Wählen Sie Supervisoren und dann den Supervisor aus der Liste aus.
Klicken Sie auf Konfigurieren und wählen Sie Zertifikate aus.
Wählen Sie im Bereich Arbeitslastverwaltungs-Plattform die Option Aktionen > CSR generieren aus.
Abbildung 1. Ersetzen des Supervisor-Standardzertifikats
Geben Sie die Details für das Zertifikat an.
Hinweis: Wenn Sie einen Identitätsanbieterdienst verwenden, müssen Sie auch die gesamte Zertifikatskette einschließen. Die Kette ist jedoch für den standardmäßigen HTTPS-Datenverkehr nicht erforderlich.
Nachdem das CSR generiert wurde, klicken Sie auf Kopieren.
Signieren Sie das Zertifikat mit einer Zertifizierungsstelle.
Wählen Sie im Bereich Arbeitslastverwaltungs-Plattform die Option Aktionen > Zertifikat ersetzen aus.
Laden Sie die signierte Zertifikatsdatei hoch und klicken Sie auf Zertifikat ersetzen.
Validieren Sie das Zertifikat hinsichtlich der IP-Adresse der Kubernetes-Steuerungsebene.
Sie können beispielsweise die Downloadseite
Kubernetes-CLI-Tools für vSphere öffnen und durch Nutzung des Browsers bestätigen, dass das Zertifikat erfolgreich ersetzt wurde. Auf einem Linux- oder UNIX-System können Sie auch
echo | openssl s_client -connect https://ip:6443 verwenden.
