Crear el proveedor de claves en el clúster de Trust Authority

Para que el servicio de proveedor de claves se conecte a un proveedor de claves, primero debe crear un proveedor de claves de confianza y, a continuación, establecer una configuración de confianza entre el clúster de vSphere Trust Authority y el servidor de claves (Key Management Server, KMS). Para la mayoría de los servidores de claves que cumplen con KMIP, esta configuración implica el establecimiento de certificados de cliente y servidor.

Lo que antes se denominaba clúster KMS en vSphere 6.7 ahora se denomina proveedor de claves en vSphere 7.0 y versiones posteriores. Para obtener más información sobre los proveedores de claves, consulte Descripción del servicio de proveedor de claves de vSphere Trust Authority.

En un entorno de producción, puede crear varios proveedores de claves. Al crear varios proveedores de claves, puede abordar el modo en que se administra la implementación en función de la organización de la empresa, diferentes unidades de negocio o clientes, etc.

Si sigue estas tareas en orden, aún está conectado a la instancia de vCenter Server del clúster de vSphere Trust Authority.

Requisitos previos

Habilitar el administrador de Trust Authority.
Habilitar el estado de Trust Authority.
Recopilar información sobre hosts ESXi e instancias de vCenter Server que serán de confianza.
Importar la información del host de confianza en el clúster de Trust Authority.
Cree y active una clave en el servidor de claves para que sea la clave principal del proveedor de claves de confianza. Esta clave envuelve otras claves y secretos utilizados por este proveedor de claves de confianza. Consulte la documentación del proveedor del servidor de claves para obtener más información sobre la creación de claves.

Procedimiento

Asegúrese de estar conectado a la instancia de vCenter Server del clúster de Trust Authority. Por ejemplo, puede introducir $global:defaultviservers para mostrar todos los servidores conectados.
(opcional) Si es necesario, puede ejecutar los siguientes comandos para asegurarse de que está conectado a la instancia de vCenter Server del clúster de Trust Authority.
```
Disconnect-VIServer -server * -Confirm:$false
Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
```
Para crear el proveedor de claves de confianza, ejecute el cmdlet New-TrustAuthorityKeyProvider.
Por ejemplo, este comando utiliza 1 para PrimaryKeyID y el nombre clkp. Si sigue estas tareas en orden, ya asignó la información de Get-TrustAuthorityCluster a una variable (por ejemplo, $vTA = Get-TrustAuthorityCluster 'vTA Cluster').
```
New-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA -PrimaryKeyId 1 -Name clkp -KmipServerAddress ip_address
```
El valor de PrimaryKeyID suele ser un identificador de clave procedente del servidor de claves con un formato de UUID. No utilice el nombre de clave para PrimaryKeyID. El valor de PrimaryKeyID depende del proveedor. Consulte la documentación del servidor de claves. El cmdlet New-TrustAuthorityKeyProvider puede admitir otras opciones, como KmipServerPort, ProxyAddress y ProxyPort. Consulte el sistema de ayuda de New-TrustAuthorityKeyProvider para obtener más información.
Cada proveedor de claves lógico, independientemente de su tipo (proveedor de claves estándar, de confianza y nativo), debe tener un nombre único en todos los sistemas vCenter Server.

Para obtener más información, consulte Nomenclatura de proveedor de claves.

Nota: Para agregar varios servidores de claves al proveedor de claves, utilice el cmdlet Add-TrustAuthorityKeyProviderServer.

Se muestra la información del proveedor de claves.

Establezca la conexión de confianza para que el servidor de claves confíe en el proveedor de claves de confianza. El proceso exacto depende de los certificados que el proveedor de claves acepte y de la directiva de su empresa. Seleccione la opción adecuada para el servidor y finalice los pasos.

Opción	Consulte
Cargar certificado de cliente	Cargar el certificado de cliente para establecer una conexión de confianza con un proveedor de claves de confianza.
Cargar certificado y clave privada de KMS	Cargar el certificado y la clave privada para establecer una conexión de confianza con un proveedor de claves de confianza.
Nueva solicitud de firma de certificado	Crear una solicitud de firma del certificado para establecer una conexión de confianza con un proveedor de claves de confianza.

Para finalizar la configuración de confianza, cargue un certificado de servidor de claves para que el proveedor de claves de confianza confíe en el servidor de claves.
1. Asigne la información de Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA a una variable.
  Por ejemplo:
```
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
```
  Esta variable obtiene los proveedores de claves de confianza del clúster de Trust Authority especificado (en este caso, $vTA).
  
  Nota: Si tiene más de un proveedor de claves de confianza, utilice comandos similares a los que se indican a continuación para seleccionar el que desee:
```
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
<The trusted key providers listing is displayed.>
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1
```
  Al utilizar Select-Object -Last 1, se selecciona el último proveedor de claves de confianza de la lista.
2. Para obtener el certificado del servidor de claves, ejecute el comando Get-TrustAuthorityKeyProviderServerCertificate.
  Por ejemplo:
```
Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers
```
  Se mostrará la información del certificado de servidor. Inicialmente, el certificado no es de confianza, por lo que el estado de confianza es False. Si tiene más de un servidor de claves configurado, se devuelve una lista de certificados. Compruebe y agregue cada certificado siguiendo las instrucciones que se indican a continuación.
3. Antes de confiar en el certificado, asigne la información de Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers a una variable (por ejemplo, cert), ejecute el comando $cert.Certificate.ToString() y compruebe los resultados.
  Por ejemplo:
```
$cert = Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers
$cert.Certificate.ToString()
```
  Se muestra información del certificado, como el asunto, el emisor y demás datos.
4. Para agregar el certificado del servidor KMIP al proveedor de claves de confianza, ejecute Add-TrustAuthorityKeyProviderServerCertificate.
  Por ejemplo:
```
Add-TrustAuthorityKeyProviderServerCertificate -ServerCertificate $cert
```
  Se mostrará la información del certificado y el estado de confianza ahora es True.
Compruebe el estado del proveedor de claves.
1. Para actualizar el estado del proveedor de claves, reasigne la variable $kp.
  Por ejemplo:
```
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
```
  Nota: Si tiene más de un proveedor de claves de confianza, utilice comandos similares a los que se indican a continuación para seleccionar el que desee:
```
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
<The trusted key providers listing is displayed.>
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1
```
  Al utilizar Select-Object -Last 1, se selecciona el último proveedor de claves de confianza de la lista.
2. Ejecute el comando $kp.Status para obtener el estado del proveedor de claves.
  Por ejemplo:
```
$kp.Status
```
  Nota: El estado puede tardar unos minutos en actualizarse. Para ver el estado, reasigne la variable $kp y vuelva a ejecutar el comando $kp.Status.
Si el estado de mantenimiento es Ok, quiere decir que el proveedor de claves se está ejecutando correctamente.

Resultados

El proveedor de claves de confianza se creará y se establecerá una relación de confianza con el servidor de claves.

Ejemplo: Crear el proveedor de claves en el clúster de Trust Authority

En este ejemplo se muestra cómo utilizar PowerCLI para crear el proveedor de claves de confianza en el clúster de Trust Authority. Se da por sentado que está conectado a la instancia de vCenter Server del clúster de Trust Authority como administrador de Trust Authority. También utiliza un certificado firmado por el proveedor del servidor de claves después de enviar una CSR al proveedor.

En la siguiente tabla, se muestran los componentes y los valores de ejemplo que se utilizan.

Tabla 1. Ejemplo de configuración de vSphere Trust Authority
Componente	Valor
Variable `$vTA`	Get-TrustAuthorityCluster 'vTA Cluster'
Variable `$kp`	Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
Variable `$cert`	Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers
vCenter Server para clúster de Trust Authority	192.168.210.22
Servidor de claves que cumple con KMIP	192.168.110.91
Usuario del servidor de claves que cumple con KMIP	vcqekmip
Nombre del clúster de Trust Authority	Clúster de vTA
Administrador de Trust Authority	[email protected]

PS C:\Users\Administrator.CORP> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!'

PS C:\Users\Administrator.CORP> New-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA -PrimaryKeyId 8 -Name clkp -KmipServerAddress 192.168.110.91
Name                 PrimaryKeyId         Type       TrustAuthorityClusterId
----                 ------------         ----       -----------------------
clkp                 8                    KMIP       TrustAuthorityCluster-domain-c8

PS C:\Users\Administrator.CORP> New-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp
<Export the client certificate when you need to use it.>
PS C:\Users\Administrator.CORP> Export-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -FilePath clientcert.pem

PS C:\Users\Administrator.CORP> $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
PS C:\Users\Administrator.CORP> Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers

Certificate                              Trusted    KeyProviderServerId       KeyProviderId
-----------                              -------    -------------------       -------------
[Subject]...                             False      domain-c8-clkp:192.16.... domain-c8-clkp

PS C:\WINDOWS\system32> $cert.Certificate.ToString()
[Subject]
  E=<domain>, CN=<IP address>, OU=VMware Engineering, O=VMware, L=Palo Alto, S=California, C=US

[Issuer]
  O=<host>.eng.vmware.com, C=US, DC=local, DC=vsphere, CN=CA

[Serial Number]
  00CEF192BBF9D80C9F

[Not Before]
  8/10/2015 4:16:12 PM

[Not After]
  8/9/2020 4:16:12 PM

[Thumbprint]
  C44068C124C057A3D07F51DCF18720E963604B70

PS C:\Users\Administrator.CORP> $cert = Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers
PS C:\Users\Administrator.CORP> Add-TrustAuthorityKeyProviderServerCertificate -ServerCertificate $cert

Certificate                              Trusted    KeyProviderServerId       KeyProviderId
-----------                              -------    -------------------       -------------
[Subject]...                             True                                 domain-c8-clkp

PS C:\Users\Administrator.CORP> $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
PS C:\Users\Administrator.CORP> $kp.Status

KeyProviderId Health HealthDetails ServerStatus
------------- ------ ------------- ------------
domain-c8-kp4     Ok {}            {192.168.210.22}

Qué hacer a continuación

Continúe con Exportar la información del clúster de Trust Authority.