Para establecer la confianza, el clúster de vSphere Trust Authority requiere información acerca de los hosts ESXi y la instancia de vCenter Server del clúster de confianza. Esta información se exporta como archivos para importarlos al clúster de Trust Authority. Debe asegurarse de mantener la confidencialidad de estos archivos y de transportarlos de forma segura.

Utilice cmdlets de PowerCLI de vSphere Trust Authority para exportar la siguiente información como archivos a partir de los hosts de ESXi en el clúster de confianza para que el clúster de Trust Authority sepa en qué software y hardware puede confiar.

  • Versión de ESXi
  • Fabricante del TPM (certificado de CA)
  • (Opcional) TPM individual (certificado de EK)
Nota: Almacene estos archivos exportados en una ubicación segura, en caso de que deba restaurar la configuración de vSphere Trust Authority.

Si tiene hosts del mismo tipo y proveedor y fabricados durante el mismo período de tiempo y ubicación, es posible que pueda confiar en todos los TPM; para ello, debe obtener el certificado de CA de solo uno de los TPM. Para confiar en un TPM individual, obtenga el certificado de EK de TPM.

También debe obtener la información principal de la instancia de vCenter Server del clúster de confianza. La información principal contiene el usuario de solución vpxd y su cadena de certificados. La información principal permite que la instancia de vCenter Server del clúster de confianza detecte los proveedores de claves de confianza disponibles configurados en el clúster de Trust Authority.

Para configurar inicialmente vSphere Trust Authority, debe recopilar la versión de ESXi y la información del TPM. También debe recopilar la versión de ESXi cada vez que implemente una nueva versión de ESXi, incluso cuando actualice o aplique una revisión.

La información principal de la instancia de vCenter Server solo se recopila una vez por sistema vCenter Server.

Requisitos previos

  • Identifique las versiones de ESXi y los tipos de hardware de TPM que se encuentran en el clúster de confianza, y si desea confiar en todos los tipos de hardware de TPM, solo en algunos o en hosts individuales.
  • En el equipo en el que ejecute los cmdlets de PowerCLI, cree una carpeta local en la que guardar la información que exporte como archivos.
  • Habilitar el administrador de Trust Authority.
  • Habilitar el estado de Trust Authority.

Procedimiento

  1. En una sesión de PowerCLI, ejecute los siguientes comandos para desconectar cualquier conexión actual y conectarse como usuario raíz a uno de los hosts ESXi en el clúster de confianza.
    Disconnect-VIServer -server * -Confirm:$false
    Connect-VIServer -server host_ip_address -User root -Password 'password'
  2. Ejecute el cmdlet Get-VMHost para confirmar el host ESXi.
    Get-VMHost
    Se mostrará la información del host.
  3. Asigne Get-VMHost a una variable.
    Por ejemplo:
    $vmhost = Get-VMHost
  4. Ejecute el cmdlet Export-Tpm2CACertificate para exportar el certificado de CA de un fabricante de TPM determinado.
    1. Asigne Get-Tpm2EndorsementKey -VMHost $vmhost a una variable.
      Por ejemplo, este comando asigna Get-Tpm2EndorsementKey -VMHost $vmhost a la variable $tpm2.
      $tpm2 = Get-Tpm2EndorsementKey -VMHost $vmhost
    2. Ejecute el cmdlet Export-Tpm2CACertificate.
      Por ejemplo, este comando exporta el certificado de TPM al archivo cacert.zip. Antes de ejecutar este comando, asegúrese de que el directorio de destino existe.
      Export-Tpm2CACertificate -Tpm2EndorsementKey $tpm2 -FilePath C:\vta\cacert.zip
      Se creará el archivo.
    3. Repita el procedimiento para cada tipo de hardware de TPM en el clúster en el que desea confiar. Utilice un nombre de archivo diferente con cada tipo de hardware de TMP, así evitará sobrescribir un archivo previamente exportado.
  5. Ejecute el cmdlet Export-VMHostImageDb para exportar la descripción del host ESXi del software (la imagen de ESXi).
    Por ejemplo, este comando exporta la información al archivo image.tgz. Antes de ejecutar este comando, asegúrese de que el directorio de destino existe.
    Export-VMHostImageDb -VMHost $vmhost -FilePath C:\vta\image.tgz
    Nota: El cmdlet Export-VMHostImageDb también funciona si prefiere iniciar sesión en la instancia de vCenter Server del clúster de confianza.
    Se creará el archivo.

    Repita los pasos para cada versión de ESXi en el clúster en el que desea confiar. Utilice un nombre de archivo diferente con cada versión, así evitará sobrescribir un archivo previamente exportado.

  6. Exporte la información de entidad de seguridad de la instancia de vCenter Server del clúster de confianza.
    1. Desconéctese del host ESXi.
      Disconnect-VIServer -server * -Confirm:$false
    2. Conéctese a la instancia de vCenter Server del clúster de confianza mediante el usuario administrador de Trust Authority. (También puede utilizar un usuario que tenga privilegios de administrador).
      Connect-VIServer -server TrustedCluster_VC_ip_address -User trust_admin_user -Password 'password'
    3. Para exportar la información de entidad de seguridad de vCenter Server del clúster de confianza, ejecute el cmdlet Export-TrustedPrincipal.
      Por ejemplo, este comando exporta la información al archivo principal.json . Antes de ejecutar este comando, asegúrese de que el directorio de destino existe.
      Export-TrustedPrincipal -FilePath C:\vta\principal.json
      Se creará el archivo.
  7. (opcional) Si desea confiar en un host individual, debe exportar el certificado de clave pública EK de TPM.

Resultados

Se crearán los siguientes archivos:

  • Archivo de certificado de CA de TPM (extensión de archivo .zip)
  • Archivo de imagen de ESXi (extensión de archivo .tgz)
  • Archivo principal de vCenter Server (extensión de archivo .json)

Ejemplo: Recopilar información sobre hosts ESXi e instancias de vCenter Server que serán de confianza

En este ejemplo se muestra cómo usar PowerCLI para exportar la información del host ESXi y la entidad de seguridad de vCenter Server. En la siguiente tabla, se muestran los componentes y los valores de ejemplo que se utilizan.

Tabla 1. Ejemplo de configuración de vSphere Trust Authority
Componente Valor
Host ESXi en un clúster de confianza 192.168.110.51
vCenter Server para clúster de confianza 192.168.110.22
Variable $vmhost Get-VMHost
Variable $tpm2 Get-Tpm2EndorsementKey -VMHost $vmhost
Administrador de Trust Authority trustedadmin@vsphere.local
Directorio local que contiene los archivos de salida C:\vta
PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.110.51 -User root -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.110.51                  443  root

PS C:\Users\Administrator.CORP> Get-VMHost

Name               ConnectionState PowerState NumCpu CpuUsageMhz CpuTotalMhz MemoryUsageGB MemoryTotalGB Version
----               --------------- ---------- ------ ----------- ----------- ------------- ------------- -------
192.168.110.51     Connected       PoweredOn       4         200        9576         1.614         7.999   7.0.0

PS C:\Users\Administrator.CORP> $vmhost = Get-VMHost
PS C:\Users\Administrator.CORP> $tpm2 = Get-Tpm2EndorsementKey -VMHost $vmhost
PS C:\> Export-Tpm2CACertificate -Tpm2EndorsementKey $tpm2 -FilePath C:\vta\cacert.zip

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----        10/8/2019   6:55 PM           1004 cacert.zip

PS C:\Users\Administrator.CORP> Export-VMHostImageDb -VMHost $vmhost -FilePath C:\vta\image.tgz

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----         10/8/2019  11:02 PM          2391 image.tgz

PS C:\Users\Administrator.CORP> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.110.22 -User trustedadmin@vsphere.local -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.110.22                  443  VSPHERE.LOCAL\trustedadmin

PS C:\Users\Administrator.CORP> Export-TrustedPrincipal -FilePath C:\vta\principal.json

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----         10/8/2019  11:14 PM           1873 principal.json

Qué hacer a continuación

Continúe con Importar la información del host de confianza en el clúster de Trust Authority.