Para que el servicio de proveedor de claves se conecte a un proveedor de claves, primero debe crear un proveedor de claves de confianza y, a continuación, establecer una configuración de confianza entre el clúster de vSphere Trust Authority y el servidor de claves (Key Management Server, KMS). Para la mayoría de los servidores de claves que cumplen con KMIP, esta configuración implica el establecimiento de certificados de cliente y servidor.
Lo que anteriormente se llamaba clúster de KMS en vSphere 6.7 ahora se denomina proveedor de claves en vSphere 7.0. Para obtener más información acerca de proveedores de claves, consulte Descripción del servicio de proveedor de claves de vSphere Trust Authority.
En un entorno de producción, puede crear varios proveedores de claves. Al crear varios proveedores de claves, puede abordar el modo en que se administra la implementación en función de la organización de la empresa, diferentes unidades de negocio o clientes, etc.
Si sigue estas tareas en orden, aún está conectado a la instancia de vCenter Server del clúster de vSphere Trust Authority.
Requisitos previos
- Habilitar el administrador de Trust Authority.
- Habilitar el estado de Trust Authority.
- Recopilar información sobre hosts ESXi e instancias de vCenter Server que serán de confianza.
- Importar la información del host de confianza en el clúster de Trust Authority.
- Cree y active una clave en el servidor de claves para que sea la clave principal del proveedor de claves de confianza. Esta clave envuelve otras claves y secretos utilizados por este proveedor de claves de confianza. Consulte la documentación del proveedor del servidor de claves para obtener más información sobre la creación de claves.
Procedimiento
Resultados
El proveedor de claves de confianza se creará y se establecerá una relación de confianza con el servidor de claves.
Ejemplo: Crear el proveedor de claves en el clúster de Trust Authority
En este ejemplo se muestra cómo utilizar PowerCLI para crear el proveedor de claves de confianza en el clúster de Trust Authority. Se da por sentado que está conectado a la instancia de vCenter Server del clúster de Trust Authority como administrador de Trust Authority. También utiliza un certificado firmado por el proveedor del servidor de claves después de enviar una CSR al proveedor.
En la siguiente tabla, se muestran los componentes y los valores de ejemplo que se utilizan.
Componente | Valor |
---|---|
Variable $vTA |
Get-TrustAuthorityCluster 'vTA Cluster' |
Variable $kp |
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA |
Variable $cert |
Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers |
vCenter Server para clúster de Trust Authority | 192.168.210.22 |
Servidor de claves que cumple con KMIP | 192.168.110.91 |
Usuario del servidor de claves que cumple con KMIP | vcqekmip |
Nombre del clúster de Trust Authority | Clúster de vTA |
Administrador de Trust Authority | [email protected] |
PS C:\Users\Administrator.CORP> Disconnect-VIServer -server * -Confirm:$false PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!' PS C:\Users\Administrator.CORP> New-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA -PrimaryKeyId 8 -Name clkp -KmipServerAddress 192.168.110.91 Name PrimaryKeyId Type TrustAuthorityClusterId ---- ------------ ---- ----------------------- clkp 8 KMIP TrustAuthorityCluster-domain-c8 PS C:\Users\Administrator.CORP> New-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp <Export the client certificate when you need to use it.> PS C:\Users\Administrator.CORP> Export-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -FilePath clientcert.pem PS C:\Users\Administrator.CORP> $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA PS C:\Users\Administrator.CORP> Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers Certificate Trusted KeyProviderServerId KeyProviderId ----------- ------- ------------------- ------------- [Subject]... False domain-c8-clkp:192.16.... domain-c8-clkp PS C:\WINDOWS\system32> $cert.Certificate.ToString() [Subject] E=<domain>, CN=<IP address>, OU=VMware Engineering, O=VMware, L=Palo Alto, S=California, C=US [Issuer] O=<host>.eng.vmware.com, C=US, DC=local, DC=vsphere, CN=CA [Serial Number] 00CEF192BBF9D80C9F [Not Before] 8/10/2015 4:16:12 PM [Not After] 8/9/2020 4:16:12 PM [Thumbprint] C44068C124C057A3D07F51DCF18720E963604B70 PS C:\Users\Administrator.CORP> $cert = Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers PS C:\Users\Administrator.CORP> Add-TrustAuthorityKeyProviderServerCertificate -ServerCertificate $cert Certificate Trusted KeyProviderServerId KeyProviderId ----------- ------- ------------------- ------------- [Subject]... True domain-c8-clkp PS C:\Users\Administrator.CORP> $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA PS C:\Users\Administrator.CORP> $kp.Status KeyProviderId Health HealthDetails ServerStatus ------------- ------ ------------- ------------ domain-c8-kp4 Ok {} {192.168.210.22}
Qué hacer a continuación
Continúe con Exportar la información del clúster de Trust Authority.