Pour établir l'approbation, le cluster Autorité d'approbation vSphere nécessite des informations sur les hôtes ESXi et le système vCenter Server du cluster approuvé. Exportez ces informations sous forme de fichiers à importer dans le cluster d'autorité d'approbation. Vous devez vous assurer de maintenir ces fichiers confidentiels et de les transporter en toute sécurité.
Vous utilisez les applets de commande PowerCLI de Autorité d'approbation vSphere pour exporter les informations suivantes sous forme de fichiers à partir des hôtes ESXi dans le cluster approuvé pour que le cluster d'autorité d'approbation sache quels logiciels et matériels sont à approuver.
- Version de ESXi
- Fabricant de TPM (certificat d'autorité de certification)
- (Facultatif) TPM unique (certificat EK)
Si vous disposez d'hôtes du même type et du même fournisseur fabriqués dans la même période et au même emplacement, vous pouvez être en mesure de faire confiance à tous les TPM en obtenant le certificat d'autorité de certification d'un seul des TPM. Pour approuver un TPM unique, vous devez obtenir le certificat EK du TPM.
Vous devez également obtenir les informations de principal depuis l'instance de vCenter Server du cluster approuvé. Les informations de principal contiennent l'utilisateur de solution vpxd et sa chaîne de certificats. Les informations de principal permettent à l'instance de vCenter Server du cluster approuvé de détecter les fournisseurs de clés approuvés disponibles et configurés sur le cluster d'autorité d'approbation.
Pour configurer initialement Autorité d'approbation vSphere , vous devez collecter la version d'ESXi et les informations de TPM. Vous devez collecter la version d'ESXi chaque fois que vous déployez une nouvelle version d'ESXi, y compris lorsque vous effectuez une mise à niveau ou appliquez un correctif.
Vous collectez les informations de principal de vCenter Server une seule fois par système vCenter Server.
Conditions préalables
- Identifiez les versions d'ESXi et les types de matériel TPM qui se trouvent dans le cluster approuvé et définissez si vous souhaitez approuver tous les types de matériel TPM, seulement certains d'entre eux ou uniquement des hôtes individuels.
- Sur la machine à partir de laquelle vous exécutez les applets de commande PowerCLI, créez un dossier local dans lequel enregistrer les informations que vous exportez en tant que fichiers.
- Activer l'administrateur de l'autorité d'approbation.
- Activer l'état de l'autorité d'approbation.
Procédure
Résultats
Les fichiers suivants sont créés :
- Fichier de certificat d'autorité de certification TPM (extension de fichier .zip)
- Fichier image d'ESXi (extension de fichier .tgz)
- Fichier principal de vCenter Server (extension de fichier .json)
Exemple : Collecte d'informations sur les hôtes ESXi et vCenter Server à approuver
Cet exemple explique comment utiliser PowerCLI pour exporter les informations de l'hôte ESXi et le principal vCenter Server. Le tableau suivant montre des exemples de composants et de valeurs qui sont utilisés.
Composant | Valeur |
---|---|
Hôte ESXi dans un cluster approuvé | 192.168.110.51 |
vCenter Server du cluster approuvé | 192.168.110.22 |
Variable $vmhost |
Get-VMHost |
Variable $tpm2 |
Get-Tpm2EndorsementKey -VMHost $vmhost |
Administrateur d'autorité d'approbation | [email protected] |
Répertoire local contenant des fichiers de sortie | C:\vta |
PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.110.51 -User root -Password 'VMware1!' Name Port User ---- ---- ---- 192.168.110.51 443 root PS C:\Users\Administrator.CORP> Get-VMHost Name ConnectionState PowerState NumCpu CpuUsageMhz CpuTotalMhz MemoryUsageGB MemoryTotalGB Version ---- --------------- ---------- ------ ----------- ----------- ------------- ------------- ------- 192.168.110.51 Connected PoweredOn 4 200 9576 1.614 7.999 7.0.0 PS C:\Users\Administrator.CORP> $vmhost = Get-VMHost PS C:\Users\Administrator.CORP> $tpm2 = Get-Tpm2EndorsementKey -VMHost $vmhost PS C:\> Export-Tpm2CACertificate -Tpm2EndorsementKey $tpm2 -FilePath C:\vta\cacert.zip Mode LastWriteTime Length Name ---- ------------- ------ ---- -a---- 10/8/2019 6:55 PM 1004 cacert.zip PS C:\Users\Administrator.CORP> Export-VMHostImageDb -VMHost $vmhost -FilePath C:\vta\image.tgz Mode LastWriteTime Length Name ---- ------------- ------ ---- -a---- 10/8/2019 11:02 PM 2391 image.tgz PS C:\Users\Administrator.CORP> Disconnect-VIServer -server * -Confirm:$false PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.110.22 -User [email protected] -Password 'VMware1!' Name Port User ---- ---- ---- 192.168.110.22 443 VSPHERE.LOCAL\trustedadmin PS C:\Users\Administrator.CORP> Export-TrustedPrincipal -FilePath C:\vta\principal.json Mode LastWriteTime Length Name ---- ------------- ------ ---- -a---- 10/8/2019 11:14 PM 1873 principal.json
Que faire ensuite
Continuez avec Importer les informations de l'hôte approuvé dans le cluster d'autorité d'approbation.