Certains fournisseurs de serveur de clés (KMS) exigent que vous génériez une demande de signature de certificat (CSR) et envoyiez cette CSR au fournisseur de serveur de clés. Le fournisseur de serveur de clés signe la CSR et renvoie le certificat signé.ssfourniseur Après avoir configuré ce certificat signé en tant que certificat client du fournisseur de clés approuvé, le serveur de clés accepte le trafic provenant du fournisseur de clés approuvé.
Cette tâche est un processus en deux étapes. En premier lieu, vous générez la CSR et l'envoyez à votre fournisseur du serveur de clés. Ensuite, vous téléchargez le certificat signé que vous recevez du fournisseur du serveur de clés.
Procédure
- Assurez-vous que vous êtes connecté à l'instance de vCenter Server du cluster d'autorité d'approbation. Par exemple, vous pouvez entrer la commande $global:defaultviservers pour afficher tous les serveurs connectés.
- (Facultatif) Si nécessaire, vous pouvez exécuter les commandes suivantes pour vous assurer que vous êtes connecté à l'instance de vCenter Server du cluster d'autorité d'approbation.
Disconnect-VIServer -server * -Confirm:$false
Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
- Attribuez les informations de
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
à une variable.
Par exemple :
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
Si vous suivez ces tâches dans l'ordre, vous avez précédemment attribué des informations Get-TrustAuthorityCluster à une variable (par exemple, $vTA = Get-TrustAuthorityCluster 'vTA Cluster'
).
Cette variable obtient les fournisseurs de clés approuvés dans le cluster d'autorité d'approbation donné, dans le cas présent,
$vTA
.
Note : Si vous disposez de plusieurs fournisseurs de clés approuvés, utilisez des commandes semblables aux suivantes pour sélectionner celle de votre choix :
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
<The trusted key providers listing is displayed.>
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1
L'utilisation de Select-Object -Last 1
sélectionne le dernier fournisseur de clés approuvé dans la liste.
- Pour générer une demande CSR, utilisez l'applet de commande New-TrustAuthorityKeyProviderClientCertificateCSR.
Par exemple :
New-TrustAuthorityKeyProviderClientCertificateCSR -KeyProvider $kp
La demande CSR s'affiche. Pour obtenir la demande CSR, vous pouvez également utiliser l'applet de commande
Get-TrustAuthorityKeyProviderClientCertificateCSR -KeyProvider $kp.
- Pour obtenir un certificat signé, soumettez la demande CSR à votre fournisseur du serveur de clés.
Les certificats doivent être au format PEM. Si le certificat est renvoyé dans un format autre que PEM, convertissez-le en PEM à l'aide de la commande
openssl. Par exemple :
- Lorsque vous recevez le certificat signé du fournisseur du serveur de clés, chargez-le vers le serveur de clés en utilisant la cmdlet Set-TrustAuthorityKeyProviderClientCertificate.
Par exemple :
Set-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -CertificateFilePath <path/tp/certfile.pem>
Résultats
Le fournisseur de clés approuvé a établi une relation de confiance avec le serveur de clés.