Pour établir l'approbation, le cluster Autorité d'approbation vSphere nécessite des informations sur les hôtes ESXi et le système vCenter Server du cluster approuvé. Exportez ces informations sous forme de fichiers à importer dans le cluster d'autorité d'approbation. Vous devez vous assurer de maintenir ces fichiers confidentiels et de les transporter en toute sécurité.

Vous utilisez les applets de commande PowerCLI de Autorité d'approbation vSphere pour exporter les informations suivantes sous forme de fichiers à partir des hôtes ESXi dans le cluster approuvé pour que le cluster d'autorité d'approbation sache quels logiciels et matériels sont à approuver.

  • Version de ESXi
  • Fabricant de TPM (certificat d'autorité de certification)
  • (Facultatif) TPM unique (certificat EK)
Note : Stockez ces fichiers exportés dans un endroit sûr, au cas où vous devez restaurer la configuration de Autorité d'approbation vSphere .

Si vous disposez d'hôtes du même type et du même fournisseur fabriqués dans la même période et au même emplacement, vous pouvez être en mesure de faire confiance à tous les TPM en obtenant le certificat d'autorité de certification d'un seul des TPM. Pour approuver un TPM unique, vous devez obtenir le certificat EK du TPM.

Vous devez également obtenir les informations de principal depuis l'instance de vCenter Server du cluster approuvé. Les informations de principal contiennent l'utilisateur de solution vpxd et sa chaîne de certificats. Les informations de principal permettent à l'instance de vCenter Server du cluster approuvé de détecter les fournisseurs de clés approuvés disponibles et configurés sur le cluster d'autorité d'approbation.

Pour configurer initialement Autorité d'approbation vSphere , vous devez collecter la version d'ESXi et les informations de TPM. Vous devez collecter la version d'ESXi chaque fois que vous déployez une nouvelle version d'ESXi, y compris lorsque vous effectuez une mise à niveau ou appliquez un correctif.

Vous collectez les informations de principal de vCenter Server une seule fois par système vCenter Server.

Conditions préalables

  • Identifiez les versions d'ESXi et les types de matériel TPM qui se trouvent dans le cluster approuvé et définissez si vous souhaitez approuver tous les types de matériel TPM, seulement certains d'entre eux ou uniquement des hôtes individuels.
  • Sur la machine à partir de laquelle vous exécutez les applets de commande PowerCLI, créez un dossier local dans lequel enregistrer les informations que vous exportez en tant que fichiers.
  • Activer l'administrateur de l'autorité d'approbation.
  • Activer l'état de l'autorité d'approbation.

Procédure

  1. Dans une session PowerCLI, exécutez l'applet de commande pour vous connecter en tant qu'utilisateur racine à l'un des hôtes ESXi dans le cluster approuvé.
    Disconnect-VIServer -server * -Confirm:$false
    Connect-VIServer -server host_ip_address -User root -Password 'password'
  2. Exécutez l'applet de commande Get-VMHost pour confirmer l'hôte ESXi.
    Get-VMHost
    Les informations de l'hôte s'affichent.
  3. Attribuez Get-VMHost à une variable.
    Par exemple :
    $vmhost = Get-VMHost
  4. Exécutez l'applet de commande Export-Tpm2CACertificate pour exporter le certificat d'autorité de certification d'un fabricant TPM spécifique.
    1. Attribuez Get-Tpm2EndorsementKey -VMHost $vmhost à une variable.
      Par exemple, cette commande attribue Get-Tpm2EndorsementKey -VMHost $vmhost à la variable $tpm2.
      $tpm2 = Get-Tpm2EndorsementKey -VMHost $vmhost
    2. Exécutez la cmdlet Export-Tpm2CACertificate.
      Par exemple, cette commande exporte le certificat du TPM vers le fichier cacert.zip. Assurez-vous que le répertoire de destination existe avant d'exécuter cette commande.
      Export-Tpm2CACertificate -Tpm2EndorsementKey $tpm2 -FilePath C:\vta\cacert.zip
      Le fichier est créé.
    3. Répétez cette opération pour chaque type de matériel TPM du cluster que vous souhaitez approuver. Utilisez un nom de fichier différent pour chaque type de matériel TMP afin de ne pas remplacer un fichier précédemment exporté.
  5. Exécutez l'applet de commande Export-VMHostImageDb pour exporter la description de l'hôte ESXi du logiciel (l'image ESXi).
    Par exemple, cette commande exporte les informations vers le fichier image.tgz. Assurez-vous que le répertoire de destination existe avant d'exécuter cette commande.
    Export-VMHostImageDb -VMHost $vmhost -FilePath C:\vta\image.tgz
    Note : L'applet de commande Export-VMHostImageDb fonctionne également si vous préférez vous connecter à l'instance de vCenter Server du cluster approuvé.
    Le fichier est créé.

    Répétez la procédure pour chaque version d'ESXi dans le cluster que vous souhaitez approuver. Utilisez un nom de fichier différent pour chaque version afin de ne pas remplacer un fichier précédemment exporté.

  6. Exportez les informations principales de vCenter Server sur le cluster approuvé.
    1. Déconnectez-vous de l'hôte ESXi.
      Disconnect-VIServer -server * -Confirm:$false
    2. Connectez-vous à l'instance de vCenter Server du cluster approuvé à l'aide de l'utilisateur administrateur de l'autorité d'approbation. (Vous pouvez également utiliser un utilisateur disposant de privilèges d'Administrateur.)
      Connect-VIServer -server TrustedCluster_VC_ip_address -User trust_admin_user -Password 'password'
    3. Pour exporter les informations principales de vCenter Server sur le cluster approuvé, exécutez l'applet de commande Export-TrustedPrincipal.
      Par exemple, cette commande exporte les informations vers le fichier principal.json. Assurez-vous que le répertoire de destination existe avant d'exécuter cette commande.
      Export-TrustedPrincipal -FilePath C:\vta\principal.json
      Le fichier est créé.
  7. (Facultatif) Si vous souhaitez approuver un hôte individuel, vous devez exporter le certificat de clé publique EK du TPM.

Résultats

Les fichiers suivants sont créés :

  • Fichier de certificat d'autorité de certification TPM (extension de fichier .zip)
  • Fichier image d'ESXi (extension de fichier .tgz)
  • Fichier principal de vCenter Server (extension de fichier .json)

Exemple : Collecte d'informations sur les hôtes ESXi et vCenter Server à approuver

Cet exemple explique comment utiliser PowerCLI pour exporter les informations de l'hôte ESXi et le principal vCenter Server. Le tableau suivant montre des exemples de composants et de valeurs qui sont utilisés.

Tableau 1. Exemple de configuration de Autorité d'approbation vSphere
Composant Valeur
Hôte ESXi dans un cluster approuvé 192.168.110.51
vCenter Server du cluster approuvé 192.168.110.22
Variable $vmhost Get-VMHost
Variable $tpm2 Get-Tpm2EndorsementKey -VMHost $vmhost
Administrateur d'autorité d'approbation trustedadmin@vsphere.local
Répertoire local contenant des fichiers de sortie C:\vta
PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.110.51 -User root -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.110.51                  443  root

PS C:\Users\Administrator.CORP> Get-VMHost

Name               ConnectionState PowerState NumCpu CpuUsageMhz CpuTotalMhz MemoryUsageGB MemoryTotalGB Version
----               --------------- ---------- ------ ----------- ----------- ------------- ------------- -------
192.168.110.51     Connected       PoweredOn       4         200        9576         1.614         7.999   7.0.0

PS C:\Users\Administrator.CORP> $vmhost = Get-VMHost
PS C:\Users\Administrator.CORP> $tpm2 = Get-Tpm2EndorsementKey -VMHost $vmhost
PS C:\> Export-Tpm2CACertificate -Tpm2EndorsementKey $tpm2 -FilePath C:\vta\cacert.zip

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----        10/8/2019   6:55 PM           1004 cacert.zip

PS C:\Users\Administrator.CORP> Export-VMHostImageDb -VMHost $vmhost -FilePath C:\vta\image.tgz

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----         10/8/2019  11:02 PM          2391 image.tgz

PS C:\Users\Administrator.CORP> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.110.22 -User trustedadmin@vsphere.local -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.110.22                  443  VSPHERE.LOCAL\trustedadmin

PS C:\Users\Administrator.CORP> Export-TrustedPrincipal -FilePath C:\vta\principal.json

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----         10/8/2019  11:14 PM           1873 principal.json

Que faire ensuite

Continuez avec Importer les informations de l'hôte approuvé dans le cluster d'autorité d'approbation.