Pour que le service de fournisseur de clés se connecte à un fournisseur de clés, vous devez créer un fournisseur de clés approuvé, puis configurer une configuration d'approbation entre le cluster Autorité d'approbation vSphere et le serveur de clés (KMS). Pour la plupart des serveurs de clés compatibles KMIP, cette configuration implique la configuration de certificats de client et de serveur.

Ce qui était précédemment appelé un cluster KMS dans vSphere 6.7 est désormais appelé fournisseur de clés dans vSphere 7.0. Pour plus d'informations sur les fournisseurs de clés, consultez Présentation du service de fournisseur de clés de Autorité d'approbation vSphere.

Dans un environnement de production, vous pouvez créer plusieurs fournisseurs de clés. En créant plusieurs fournisseurs de clés, vous pouvez choisir le mode de gestion de votre déploiement en fonction de l'organisation de l'entreprise, des différentes unités commerciales ou des clients, etc.

Si vous suivez ces tâches dans l'ordre, vous êtes toujours connecté à l'instance de vCenter Server du cluster Autorité d'approbation vSphere .

Conditions préalables

Procédure

  1. Assurez-vous que vous êtes connecté à l'instance de vCenter Server du cluster d'autorité d'approbation. Par exemple, vous pouvez entrer la commande $global:defaultviservers pour afficher tous les serveurs connectés.
  2. (Facultatif) Si nécessaire, vous pouvez exécuter les commandes suivantes pour vous assurer que vous êtes connecté à l'instance de vCenter Server du cluster d'autorité d'approbation.
    Disconnect-VIServer -server * -Confirm:$false
    Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
  3. Pour créer le fournisseur de clés approuvé, exécutez l'applet de commande New-TrustAuthorityKeyProvider.
    Par exemple, cette commande utilise 1 pour PrimaryKeyID et le nom clkp. Si vous suivez ces tâches dans l'ordre, vous avez précédemment attribué des informations Get-TrustAuthorityCluster à une variable (par exemple, $vTA = Get-TrustAuthorityCluster 'vTA Cluster').
    New-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA -PrimaryKeyId 1 -Name clkp -KmipServerAddress ip_address
    PrimaryKeyID est normalement un ID de clé provenant du serveur de clés sous la forme d'un UUID. N’utilisez pas le nom de clé pour PrimaryKeyID. La valeur de PrimaryKeyID dépend du fournisseur. Consultez la documentation de votre serveur de clés. L'applet de commande New-TrustAuthorityKeyProvider peut accepter d'autres options, telles que KmipServerPort, ProxyAddress et ProxyPort. Pour plus d'informations, consultez le système d'aide de New-TrustAuthorityKeyProvider.

    Chaque fournisseur de clés logique, quel que soit son type (fournisseur de clés standard, approuvé et natif), doit avoir un nom unique sur tous les systèmes vCenter Server.

    Pour plus d'informations, consultez Dénomination du fournisseur de clés.

    Note : Pour ajouter plusieurs serveurs de clés au fournisseur de clés, utilisez l'appelt de commande Add-TrustAuthorityKeyProviderServer.
    Les informations du fournisseur de clés s'affichent.
  4. Établissez la connexion approuvée pour que le serveur de clés approuve le fournisseur de clés approuvé. Le processus exact dépend des certificats acceptés par le serveur de clés et de la stratégie de votre entreprise. Sélectionnez l'option correspondant à votre serveur et terminez les étapes requises.
    Option Reportez-vous au
    Chargement d'un certificat client Téléchargement du certificat client pour établir une connexion fiable avec le fournisseur de clés approuvé.
    Chargement d'un certificat KMS et d'une clé privée Téléchargez le certificat et la clé privée pour établir une connexion fiable avec le fournisseur de clés approuvé.
    Demande de signature du nouveau certificat Création d'une demande de signature de certificat pour établir une connexion fiable avec un fournisseur de clé approuvé.
  5. Terminez la configuration de l'approbation en chargeant un certificat de serveur de clés de telle sorte que le fournisseur de clés approuvé approuve le serveur de clés.
    1. Attribuez les informations de Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA à une variable.
      Par exemple :
      $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA

      Cette variable obtient les fournisseurs de clés approuvés dans le cluster d'autorité d'approbation donné, dans le cas présent, $vTA.

      Note : Si vous disposez de plusieurs fournisseurs de clés approuvés, utilisez des commandes semblables aux suivantes pour sélectionner celle de votre choix :
      Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
      <The trusted key providers listing is displayed.>
      $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1
      

      L'utilisation de Select-Object -Last 1 sélectionne le dernier fournisseur de clés approuvé dans la liste.

    2. Pour obtenir le certificat de serveur du serveur de clés, exécutez la commande Get-TrustAuthorityKeyProviderServerCertificate.
      Par exemple :
      Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers
      Les informations sur le certificat de serveur s'affichent. Au départ, le certificat n'est pas approuvé, l'état approuvé est donc False. Si plusieurs serveurs de clés sont configurés, une liste des certificats est renvoyée. Vérifiez et ajoutez chaque certificat en suivant les instructions ci-dessous.
    3. Avant d'approuver le certificat, attribuez les informations Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers à une variable (par exemple, cert) et exécutez la commande $cert.Certificate.ToString(), puis vérifiez la sortie.
      Par exemple :
      $cert = Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers
      $cert.Certificate.ToString()
      Les informations sur le certificat s'affichent, y compris le sujet, l'émetteur et d'autres informations.
    4. Pour ajouter le certificat du serveur KMIP au fournisseur de clés approuvé, exécutez Add-TrustAuthorityKeyProviderServerCertificate.
      Par exemple :
      Add-TrustAuthorityKeyProviderServerCertificate -ServerCertificate $cert
      
      Les informations du certificat s'affichent et l'état approuvé est désormais True.
  6. Vérifiez l'état du fournisseur de clés.
    1. Pour actualiser l'état du fournisseur de clés, attribuez à nouveau la variable $kp.
      Par exemple :
      $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
      Note : Si vous disposez de plusieurs fournisseurs de clés approuvés, utilisez des commandes semblables aux suivantes pour sélectionner celle de votre choix :
      Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
      <The trusted key providers listing is displayed.>
      $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1
      

      L'utilisation de Select-Object -Last 1 sélectionne le dernier fournisseur de clés approuvé dans la liste.

    2. Pour obtenir l'état du fournisseur de clés, exécutez la commande $kp.Status.
      Par exemple :
      $kp.Status
      Note : L'actualisation de l'état peut prendre quelques minutes. Pour afficher l'état, attribuez à nouveau la variable $kp et réexécutez la commande $kp.Status.
    Un état de santé OK indique que le fournisseur de clés s'exécute correctement.

Résultats

Le fournisseur de clés approuvé a été créé et a établi une relation d'approbation avec le serveur de clés.

Exemple : Créer le fournisseur de clés sur le cluster d'autorité d'approbation

Cet exemple montre comment utiliser PowerCLI pour créer le fournisseur de clés approuvé sur le cluster d'autorité d'approbation. Il suppose que vous êtes connecté à l'instance de vCenter Server du cluster d'autorité d'approbation en tant qu'administrateur d'autorité d'approbation. Il utilise également un certificat signé par le fournisseur du serveur de clés après l'envoi d'une demande de signature de certificat au fournisseur.

Le tableau suivant montre des exemples de composants et de valeurs qui sont utilisés.

Tableau 1. Exemple de configuration de Autorité d'approbation vSphere
Composant Valeur
Variable $vTA Get-TrustAuthorityCluster 'vTA Cluster'
Variable $kp Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
Variable $cert Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers
Instance de vCenter Server pour le cluster d'autorité d'approbation 192.168.210.22
Serveur de clés compatible KMIP 192.168.110.91
Utilisateur du serveur de clés compatible KMIP vcqekmip
Nom du cluster d'autorité d'approbation Cluster vTA
Administrateur d'autorité d'approbation [email protected]
PS C:\Users\Administrator.CORP> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!'

PS C:\Users\Administrator.CORP> New-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA -PrimaryKeyId 8 -Name clkp -KmipServerAddress 192.168.110.91
Name                 PrimaryKeyId         Type       TrustAuthorityClusterId
----                 ------------         ----       -----------------------
clkp                 8                    KMIP       TrustAuthorityCluster-domain-c8

PS C:\Users\Administrator.CORP> New-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp
<Export the client certificate when you need to use it.>
PS C:\Users\Administrator.CORP> Export-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -FilePath clientcert.pem

PS C:\Users\Administrator.CORP> $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
PS C:\Users\Administrator.CORP> Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers

Certificate                              Trusted    KeyProviderServerId       KeyProviderId
-----------                              -------    -------------------       -------------
[Subject]...                             False      domain-c8-clkp:192.16.... domain-c8-clkp

PS C:\WINDOWS\system32> $cert.Certificate.ToString()
[Subject]
  E=<domain>, CN=<IP address>, OU=VMware Engineering, O=VMware, L=Palo Alto, S=California, C=US

[Issuer]
  O=<host>.eng.vmware.com, C=US, DC=local, DC=vsphere, CN=CA

[Serial Number]
  00CEF192BBF9D80C9F

[Not Before]
  8/10/2015 4:16:12 PM

[Not After]
  8/9/2020 4:16:12 PM

[Thumbprint]
  C44068C124C057A3D07F51DCF18720E963604B70

PS C:\Users\Administrator.CORP> $cert = Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers
PS C:\Users\Administrator.CORP> Add-TrustAuthorityKeyProviderServerCertificate -ServerCertificate $cert

Certificate                              Trusted    KeyProviderServerId       KeyProviderId
-----------                              -------    -------------------       -------------
[Subject]...                             True                                 domain-c8-clkp

PS C:\Users\Administrator.CORP> $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
PS C:\Users\Administrator.CORP> $kp.Status

KeyProviderId Health HealthDetails ServerStatus
------------- ------ ------------- ------------
domain-c8-kp4     Ok {}            {192.168.210.22}

Que faire ensuite

Continuez avec Exporter les informations du cluster d'autorité d'approbation.