Téléchargez le certificat et la clé privée pour établir une connexion fiable avec le fournisseur de clés approuvé

Certains fournisseurs de serveur de clés (KMS) nécessitent que vous configuriez le fournisseur de clés approuvé avec le certificat client et la clé privée fournis par le serveur de clés. Après avoir configuré le fournisseur de clés approuvé, le serveur de clés accepte le trafic du fournisseur de clés approuvé.

Conditions préalables

Activer l'administrateur de l'autorité d'approbation.
Activer l'état de l'autorité d'approbation.
Collecter des informations sur les hôtes ESXi et vCenter Server à approuver.
Importer les informations de l'hôte approuvé dans le cluster d'autorité d'approbation.
Créer le fournisseur de clés sur le cluster d'autorité d'approbation.
Demandez un certificat et une clé privée au format PEM auprès du fournisseur de serveurs de clés. Si le certificat est renvoyé dans un format autre que PEM, convertissez-le en PEM. Si la clé privée est protégée par un mot de passe, créez un fichier PEM avec le mot de passe supprimé. Vous pouvez utiliser la commande openssl pour les deux opérations. Par exemple :
- Pour convertir un certificat au format CRT dans le format PEM :
```
openssl x509 -in clientcert.crt -out clientcert.pem -outform PEM
```
- Pour convertir un certificat DER dans le format PEM :
```
openssl x509 -inform DER -in clientcert.der -out clientcert.pem
```
- Pour supprimer le mot de passe d'une clé privée :
```
openssl rsa -in key.pem -out keynopassword.pem
Enter pass phrase for key.pem:
writing RSA key
```

Procédure

Assurez-vous que vous êtes connecté à l'instance de vCenter Server du cluster d'autorité d'approbation. Par exemple, vous pouvez entrer la commande $global:defaultviservers pour afficher tous les serveurs connectés.
(Facultatif) Si nécessaire, vous pouvez exécuter les commandes suivantes pour vous assurer que vous êtes connecté à l'instance de vCenter Server du cluster d'autorité d'approbation.
```
Disconnect-VIServer -server * -Confirm:$false
Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
```
Attribuez les informations de Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA à une variable.
Par exemple :
```
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
```
Si vous suivez ces tâches dans l'ordre, vous avez précédemment attribué des informations Get-TrustAuthorityCluster à une variable (par exemple, $vTA = Get-TrustAuthorityCluster 'vTA Cluster').
La variable $kp obtient les fournisseurs de clés approuvés dans le cluster d'autorité d'approbation donné, dans le cas présent, $vTA.
Note : Si vous disposez de plusieurs fournisseurs de clés approuvés, utilisez des commandes semblables aux suivantes pour sélectionner celle de votre choix :
```
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
<The trusted key providers listing is displayed.>
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1
```
L'utilisation de Select-Object -Last 1 sélectionne le dernier fournisseur de clés approuvé dans la liste.

Téléchargez le certificat et la clé privée à l'aide de la commande Set-TrustAuthorityKeyProviderClientCertificate.

Par exemple :

Set-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -CertificateFilePath <path/to/certfile.pem> -PrivateKeyFilePath <path/to/privatekey.pem>

Résultats

Le fournisseur de clés approuvé a établi une relation de confiance avec le serveur de clés.