Algunos proveedores del servidor de claves (Key Management Server, KMS) requieren que se genere una solicitud de firma del certificado (Certificate Signing Request, CSR) y se envíe al proveedor del servidor de claves. El proveedor del servidor de claves firma la CSR y devuelve el certificado firmado. Después de configurar este certificado firmado como certificado de cliente del proveedor de claves de confianza, el servidor de claves acepta el tráfico que proviene del proveedor de claves de confianza.
Esta tarea consta de dos pasos. Primero debe generar la CSR y enviarla al proveedor del servidor de claves. A continuación, cargue el certificado firmado que recibió del proveedor del servidor de claves.
Procedimiento
- Asegúrese de estar conectado a la instancia de vCenter Server del clúster de Trust Authority. Por ejemplo, puede introducir $global:defaultviservers para mostrar todos los servidores conectados.
- (opcional) Si es necesario, puede ejecutar los siguientes comandos para asegurarse de que está conectado a la instancia de vCenter Server del clúster de Trust Authority.
Disconnect-VIServer -server * -Confirm:$false
Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
- Asigne la información de
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
a una variable.
Por ejemplo:
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
Si sigue estas tareas en orden, ya asignó la información de Get-TrustAuthorityCluster a una variable (por ejemplo, $vTA = Get-TrustAuthorityCluster 'vTA Cluster'
).
Esta variable obtiene los proveedores de claves de confianza del clúster de Trust Authority especificado (en este caso,
$vTA
).
Nota: Si tiene más de un proveedor de claves de confianza, utilice comandos similares a los que se indican a continuación para seleccionar el que desee:
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
<The trusted key providers listing is displayed.>
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1
Al utilizar Select-Object -Last 1
, se selecciona el último proveedor de claves de confianza de la lista.
- Para generar una CSR, utilice el cmdlet New-TrustAuthorityKeyProviderClientCertificateCSR.
Por ejemplo:
New-TrustAuthorityKeyProviderClientCertificateCSR -KeyProvider $kp
Se mostrará la CSR. También puede utilizar el cmdlet
Get-TrustAuthorityKeyProviderClientCertificateCSR -KeyProvider $kp para obtener la CSR.
- Para obtener un certificado firmado, envíe la CSR al proveedor del servidor de claves.
El certificado debe estar en formato PEM. Si el certificado que se devuelve tiene un formato distinto a PEM, conviértalo a ese formato mediante el comando
openssl. Por ejemplo:
- Cuando se reciba el certificado firmado del proveedor del servidor de claves, cárguelo en el servidor de claves mediante el cmdlet Set-TrustAuthorityKeyProviderClientCertificate.
Por ejemplo:
Set-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -CertificateFilePath <path/tp/certfile.pem>
Resultados
El proveedor de claves de confianza estableció una relación de confianza con el servidor de claves.