Raccolta di informazioni sugli host ESXi e il vCenter Server da considerare attendibili

Per stabilire l'attendibilità, il cluster di vSphere Trust Authority richiede informazioni sugli host ESXi del cluster attendibile e su vCenter Server. Queste informazioni vengono esportate come file da importare nel cluster di Trust Authority. È necessario assicurarsi di mantenere questi file riservati e trasportarli in modo sicuro.

È possibile utilizzare i cmdlet PowerCLI di vSphere Trust Authority per esportare le seguenti informazioni come file dagli host ESXi nel cluster attendibile in modo che il cluster di Trust Authority sappia quale software e hardware considerare attendibile.

Versione di ESXi
Produttore TPM (certificato CA)
(Facoltativo) TPM singolo (certificato EK)

Nota: Nel caso in cui sia necessario ripristinare la configurazione di vSphere Trust Authority, archiviare questi file esportati in una posizione sicura.

Se si dispone di host dello stesso tipo e dello stesso fornitore che sono stati prodotti nello stesso intervallo di tempo e nella stessa posizione, potrebbe essere possibile considerare attendibili tutti i TPM ottenendo il certificato CA di uno solo dei TPM. Per considerare attendibile un singolo TPM, ottenere il certificato EK del TPM.

È inoltre necessario ottenere le informazioni dell'entità dal vCenter Server del cluster attendibile. Le informazioni dell'entità includono l'utente della soluzione vpxd e la relativa catena di certificati. Le informazioni dell'entità consentono al vCenter Server del cluster attendibile di individuare i provider di chiavi attendibili disponibili configurati nel cluster di Trust Authority.

Per configurare inizialmente vSphere Trust Authority, è necessario raccogliere informazioni relative alla versione di ESXi e a TPM. Inoltre, è necessario raccogliere informazioni sulla versione di ESXi ogni volta che si distribuisce una nuova versione di ESXi, anche quando si aggiorna o si applica una patch.

Le informazioni dell'entità vCenter Server vengono raccolte solo una volta per ogni sistema vCenter Server.

Prerequisiti

Identificare le versioni di ESXi e i tipi di hardware TPM inclusi nel cluster attendibile e stabilire se si desidera considerare attendibili tutti i tipi di hardware TPM, solo alcuni di tali hardware o singoli host.
Nella macchina da cui si eseguono i cmdlet PowerCLI, creare una cartella locale in cui salvare le informazioni esportate come file.
Abilitazione dell'amministratore di Trust Authority.
Abilitazione dello stato di Trust Authority.

Procedura

In una sessione di PowerCLI, eseguire i comandi seguenti per disconnettere qualsiasi connessione corrente ed effettuare la connessione come utente root a uno degli host ESXi nel cluster attendibile.
```
Disconnect-VIServer -server * -Confirm:$false
Connect-VIServer -server host_ip_address -User root -Password 'password'
```
Eseguire il cmdlet Get-VMHost per confermare l'host ESXi.
```
Get-VMHost
```
Vengono visualizzate le informazioni sull'host.
Assegnare Get-VMHost a una variabile.
Ad esempio:
```
$vmhost = Get-VMHost
```
Eseguire il cmdlet Export-Tpm2CACertificate per esportare il certificato CA di un determinato produttore di TPM.
1. Assegnare Get-Tpm2EndorsementKey -VMHost $vmhost a una variabile.
  Ad esempio, questo comando assegna Get-Tpm2EndorsementKey -VMHost $vmhost alla variabile $tpm2.
```
$tpm2 = Get-Tpm2EndorsementKey -VMHost $vmhost
```
2. Eseguire il cmdlet Export-Tpm2CACertificate.
  Ad esempio, questo comando esporta il certificato TPM nel file cacert.zip. Verificare l'esistenza della directory di destinazione prima di eseguire questo comando.
```
Export-Tpm2CACertificate -Tpm2EndorsementKey $tpm2 -FilePath C:\vta\cacert.zip
```
  Il file viene creato.
3. Ripetere l'operazione per ogni tipo di hardware TPM nel cluster che si desidera considerare attendibile. Utilizzare un nome di file diverso per ogni tipo di hardware TMP, in modo da non sostituire un file esportato in precedenza.
Eseguire il cmdlet Export-VMHostImageDb per esportare la descrizione dell'host ESXi del software (l'immagine di ESXi).
Ad esempio, questo comando esporta le informazioni nel file image.tgz. Verificare l'esistenza della directory di destinazione prima di eseguire questo comando.
```
Export-VMHostImageDb -VMHost $vmhost -FilePath C:\vta\image.tgz
```
Nota: Il cmdlet Export-VMHostImageDb funziona anche se si preferisce accedere al vCenter Server del cluster attendibile.

Il file viene creato.
Ripetere l'operazione per ogni versione di ESXi nel cluster che si desidera considerare attendibile. Utilizzare un nome di file diverso per ogni versione, in modo da non sostituire un file esportato in precedenza.
Esportare le informazioni dell'entità vCenter Server del cluster attendibile.
1. Disconnettersi dall'host ESXi.
```
Disconnect-VIServer -server * -Confirm:$false
```
2. Connettersi al vCenter Server del cluster attendibile utilizzando le credenziali dell'utente amministratore di Trust Authority. (In alternativa, è possibile utilizzare un utente con privilegi di Amministratore).
```
Connect-VIServer -server TrustedCluster_VC_ip_address -User trust_admin_user -Password 'password'
```
3. Per esportare le informazioni dell'entità vCenter Server del cluster attendibile, eseguire il cmdlet Export-TrustedPrincipal.
  Ad esempio, questo comando esporta le informazioni nel file principal.json. Verificare l'esistenza della directory di destinazione prima di eseguire questo comando.
```
Export-TrustedPrincipal -FilePath C:\vta\principal.json
```
  Il file viene creato.
(Facoltativo) Se si desidera considerare attendibile un singolo host, è necessario esportare il certificato della chiave pubblica EK di TPM.
Vedere Esportazione e importazione di un certificato della chiave di verifica dell'autenticità TPM.

risultati

Vengono creati i file seguenti:

File del certificato dell'autorità di certificazione di TPM (estensione del file .zip)
File di immagine di ESXi (estensione del file .tgz)
File dell'entità vCenter Server (estensione del file.json)

Esempio: Raccolta di informazioni sugli host ESXi e il vCenter Server da considerare attendibili

In questo esempio viene illustrato come utilizzare PowerCLI per esportare le informazioni sull'host ESXi e l'entità vCenter Server. La tabella seguente include i componenti e i valori di esempio utilizzati.

Tabella 1. Esempio di configurazione di vSphere Trust Authority
Componente	Valore
Host ESXi nel cluster attendibile	192.168.110.51
vCenter Server per il cluster attendibile	192.168.110.22
Variabile `$vmhost`	Get-VMHost
Variabile `$tpm2`	Get-Tpm2EndorsementKey -VMHost $vmhost
Amministratore di Trust Authority	[email protected]
Directory locale per i file di output	C:\vta

PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.110.51 -User root -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.110.51                  443  root

PS C:\Users\Administrator.CORP> Get-VMHost

Name               ConnectionState PowerState NumCpu CpuUsageMhz CpuTotalMhz MemoryUsageGB MemoryTotalGB Version
----               --------------- ---------- ------ ----------- ----------- ------------- ------------- -------
192.168.110.51     Connected       PoweredOn       4         200        9576         1.614         7.999   7.0.0

PS C:\Users\Administrator.CORP> $vmhost = Get-VMHost
PS C:\Users\Administrator.CORP> $tpm2 = Get-Tpm2EndorsementKey -VMHost $vmhost
PS C:\> Export-Tpm2CACertificate -Tpm2EndorsementKey $tpm2 -FilePath C:\vta\cacert.zip

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----        10/8/2019   6:55 PM           1004 cacert.zip

PS C:\Users\Administrator.CORP> Export-VMHostImageDb -VMHost $vmhost -FilePath C:\vta\image.tgz

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----         10/8/2019  11:02 PM          2391 image.tgz

PS C:\Users\Administrator.CORP> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.110.22 -User [email protected] -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.110.22                  443  VSPHERE.LOCAL\trustedadmin

PS C:\Users\Administrator.CORP> Export-TrustedPrincipal -FilePath C:\vta\principal.json

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----         10/8/2019  11:14 PM           1873 principal.json

Operazioni successive

Procedere con Importazione delle informazioni sugli Host attendibili nel Cluster Trust Authority.