Cargar el certificado y la clave privada para establecer una conexión de confianza con un proveedor de claves de confianza

Algunos proveedores de servidores de claves (KMS) requieren que usted configure el proveedor de claves de confianza con el certificado de cliente y la clave privada proporcionados por el servidor de claves. Después de configurar el proveedor de claves de confianza, el servidor de claves acepta tráfico del proveedor de claves de confianza.

Requisitos previos

Habilitar el administrador de Trust Authority.
Habilitar el estado de Trust Authority.
Recopilar información sobre hosts ESXi e instancias de vCenter Server que serán de confianza.
Importar la información del host de confianza en el clúster de Trust Authority.
Crear el proveedor de claves en el clúster de Trust Authority.
Solicite un certificado y una clave privada en formato PEM al proveedor del servidor de claves. Si el certificado que se devuelve tiene un formato distinto a PEM, conviértalo a ese formato. Si la clave privada está protegida con una contraseña, cree un archivo PEM en el que la contraseña se haya eliminado. Puede usar el comando openssl para ambas operaciones. Por ejemplo:
- Para convertir un certificado de formato CRT a PEM:
```
openssl x509 -in clientcert.crt -out clientcert.pem -outform PEM
```
- Para convertir un certificado de formato DER a PEM:
```
openssl x509 -inform DER -in clientcert.der -out clientcert.pem
```
- Realice lo siguiente para eliminar la contraseña de una clave privada:
```
openssl rsa -in key.pem -out keynopassword.pem
Enter pass phrase for key.pem:
writing RSA key
```

Procedimiento

Asegúrese de estar conectado a la instancia de vCenter Server del clúster de Trust Authority. Por ejemplo, puede introducir $global:defaultviservers para mostrar todos los servidores conectados.
(opcional) Si es necesario, puede ejecutar los siguientes comandos para asegurarse de que está conectado a la instancia de vCenter Server del clúster de Trust Authority.
```
Disconnect-VIServer -server * -Confirm:$false
Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
```
Asigne la información de Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA a una variable.
Por ejemplo:
```
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
```
Si sigue estas tareas en orden, ya asignó la información de Get-TrustAuthorityCluster a una variable (por ejemplo, $vTA = Get-TrustAuthorityCluster 'vTA Cluster').
La variable $kp obtiene los proveedores de claves de confianza del clúster de Trust Authority especificado (en este caso, $vTA).
Nota: Si tiene más de un proveedor de claves de confianza, utilice comandos similares a los que se indican a continuación para seleccionar el que desee:
```
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
<The trusted key providers listing is displayed.>
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1
```
Al utilizar Select-Object -Last 1, se selecciona el último proveedor de claves de confianza de la lista.

Cargue el certificado y la clave privada mediante el comando Set-TrustAuthorityKeyProviderClientCertificate.

Por ejemplo:

Set-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -CertificateFilePath <path/to/certfile.pem> -PrivateKeyFilePath <path/to/privatekey.pem>

Resultados

El proveedor de claves de confianza estableció una relación de confianza con el servidor de claves.