Certains fournisseurs de serveur de clés (KMS) exigent que vous génériez une demande de signature de certificat (CSR) et envoyiez cette CSR au fournisseur de serveur de clés. Le fournisseur de serveur de clés signe la CSR et renvoie le certificat signé.ssfourniseur Après avoir configuré ce certificat signé en tant que certificat client du fournisseur de clés approuvé, le serveur de clés accepte le trafic provenant du fournisseur de clés approuvé.

Cette tâche est un processus en deux étapes. En premier lieu, vous générez la CSR et l'envoyez à votre fournisseur du serveur de clés. Ensuite, vous téléchargez le certificat signé que vous recevez du fournisseur du serveur de clés.

Conditions préalables

Procédure

  1. Assurez-vous que vous êtes connecté à l'instance de vCenter Server du cluster d'autorité d'approbation. Par exemple, vous pouvez entrer la commande $global:defaultviservers pour afficher tous les serveurs connectés.
  2. (Facultatif) Si nécessaire, vous pouvez exécuter les commandes suivantes pour vous assurer que vous êtes connecté à l'instance de vCenter Server du cluster d'autorité d'approbation. 
    Disconnect-VIServer -server * -Confirm:$false
Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
  3. Attribuez les informations de Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA à une variable.
    Par exemple : 
    $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA

    Si vous suivez ces tâches dans l'ordre, vous avez précédemment attribué des informations Get-TrustAuthorityCluster à une variable (par exemple, $vTA = Get-TrustAuthorityCluster 'vTA Cluster').

    Cette variable obtient les fournisseurs de clés approuvés dans le cluster d'autorité d'approbation donné, dans le cas présent, $vTA.
    Note : Si vous disposez de plusieurs fournisseurs de clés approuvés, utilisez des commandes semblables aux suivantes pour sélectionner celle de votre choix : 
    Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
<The trusted key providers listing is displayed.>
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1

    L'utilisation de Select-Object -Last 1 sélectionne le dernier fournisseur de clés approuvé dans la liste.

  4. Pour générer une demande CSR, utilisez l'applet de commande New-TrustAuthorityKeyProviderClientCertificateCSR.
    Par exemple : 
    New-TrustAuthorityKeyProviderClientCertificateCSR -KeyProvider $kp
    La demande CSR s'affiche. Pour obtenir la demande CSR, vous pouvez également utiliser l'applet de commande Get-TrustAuthorityKeyProviderClientCertificateCSR -KeyProvider $kp.
  5. Pour obtenir un certificat signé, soumettez la demande CSR à votre fournisseur du serveur de clés.
    Les certificats doivent être au format PEM. Si le certificat est renvoyé dans un format autre que PEM, convertissez-le en PEM à l'aide de la commande openssl. Par exemple :
    • Pour convertir un certificat au format CRT dans le format PEM :
      openssl x509 -in clientcert.crt -out clientcert.pem -outform PEM
    • Pour convertir un certificat DER dans le format PEM :
      openssl x509 -inform DER -in clientcert.der -out clientcert.pem
  6. Lorsque vous recevez le certificat signé du fournisseur du serveur de clés, chargez-le vers le serveur de clés en utilisant la cmdlet Set-TrustAuthorityKeyProviderClientCertificate.
    Par exemple : 
    Set-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -CertificateFilePath <path/tp/certfile.pem>

Résultats

Le fournisseur de clés approuvé a établi une relation de confiance avec le serveur de clés.