Pour que le service de fournisseur de clés se connecte à un fournisseur de clés, vous devez créer un fournisseur de clés approuvé, puis configurer une configuration d'approbation entre le cluster Autorité d'approbation vSphere et le serveur de clés (KMS). Pour la plupart des serveurs de clés compatibles KMIP, cette configuration implique la configuration de certificats de client et de serveur.
Ce qui était précédemment appelé un cluster KMS dans vSphere 6.7 est désormais appelé fournisseur de clés dans vSphere 7.0. Pour plus d'informations sur les fournisseurs de clés, consultez Présentation du service de fournisseur de clés de Autorité d'approbation vSphere.
Dans un environnement de production, vous pouvez créer plusieurs fournisseurs de clés. En créant plusieurs fournisseurs de clés, vous pouvez choisir le mode de gestion de votre déploiement en fonction de l'organisation de l'entreprise, des différentes unités commerciales ou des clients, etc.
Si vous suivez ces tâches dans l'ordre, vous êtes toujours connecté à l'instance de vCenter Server du cluster Autorité d'approbation vSphere .
Conditions préalables
- Activer l'administrateur de l'autorité d'approbation.
- Activer l'état de l'autorité d'approbation.
- Collecter des informations sur les hôtes ESXi et vCenter Server à approuver.
- Importer les informations de l'hôte approuvé dans le cluster d'autorité d'approbation.
- Créez et activez une clé sur le serveur de clés comme clé principale pour le fournisseur de clés approuvé. Cette clé encapsule d'autres clés et secrets utilisés par ce fournisseur de clés approuvé. Pour plus d'informations sur la création de clés, consultez la documentation de votre fournisseur de serveur de clés.
Procédure
Résultats
Le fournisseur de clés approuvé a été créé et a établi une relation d'approbation avec le serveur de clés.
Exemple : Créer le fournisseur de clés sur le cluster d'autorité d'approbation
Cet exemple montre comment utiliser PowerCLI pour créer le fournisseur de clés approuvé sur le cluster d'autorité d'approbation. Il suppose que vous êtes connecté à l'instance de vCenter Server du cluster d'autorité d'approbation en tant qu'administrateur d'autorité d'approbation. Il utilise également un certificat signé par le fournisseur du serveur de clés après l'envoi d'une demande de signature de certificat au fournisseur.
Le tableau suivant montre des exemples de composants et de valeurs qui sont utilisés.
Composant | Valeur |
---|---|
Variable $vTA |
Get-TrustAuthorityCluster 'vTA Cluster' |
Variable $kp |
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA |
Variable $cert |
Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers |
Instance de vCenter Server pour le cluster d'autorité d'approbation | 192.168.210.22 |
Serveur de clés compatible KMIP | 192.168.110.91 |
Utilisateur du serveur de clés compatible KMIP | vcqekmip |
Nom du cluster d'autorité d'approbation | Cluster vTA |
Administrateur d'autorité d'approbation | [email protected] |
PS C:\Users\Administrator.CORP> Disconnect-VIServer -server * -Confirm:$false PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!' PS C:\Users\Administrator.CORP> New-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA -PrimaryKeyId 8 -Name clkp -KmipServerAddress 192.168.110.91 Name PrimaryKeyId Type TrustAuthorityClusterId ---- ------------ ---- ----------------------- clkp 8 KMIP TrustAuthorityCluster-domain-c8 PS C:\Users\Administrator.CORP> New-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp <Export the client certificate when you need to use it.> PS C:\Users\Administrator.CORP> Export-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -FilePath clientcert.pem PS C:\Users\Administrator.CORP> $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA PS C:\Users\Administrator.CORP> Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers Certificate Trusted KeyProviderServerId KeyProviderId ----------- ------- ------------------- ------------- [Subject]... False domain-c8-clkp:192.16.... domain-c8-clkp PS C:\WINDOWS\system32> $cert.Certificate.ToString() [Subject] E=<domain>, CN=<IP address>, OU=VMware Engineering, O=VMware, L=Palo Alto, S=California, C=US [Issuer] O=<host>.eng.vmware.com, C=US, DC=local, DC=vsphere, CN=CA [Serial Number] 00CEF192BBF9D80C9F [Not Before] 8/10/2015 4:16:12 PM [Not After] 8/9/2020 4:16:12 PM [Thumbprint] C44068C124C057A3D07F51DCF18720E963604B70 PS C:\Users\Administrator.CORP> $cert = Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers PS C:\Users\Administrator.CORP> Add-TrustAuthorityKeyProviderServerCertificate -ServerCertificate $cert Certificate Trusted KeyProviderServerId KeyProviderId ----------- ------- ------------------- ------------- [Subject]... True domain-c8-clkp PS C:\Users\Administrator.CORP> $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA PS C:\Users\Administrator.CORP> $kp.Status KeyProviderId Health HealthDetails ServerStatus ------------- ------ ------------- ------------ domain-c8-kp4 Ok {} {192.168.210.22}
Que faire ensuite
Continuez avec Exporter les informations du cluster d'autorité d'approbation.