Alcuni fornitori di server di chiavi (KMS) richiedono la generazione di una richiesta di firma del certificato (CSR) e l'invio di tale CSR al fornitore del server di chiavi. Il fornitore del server di chiavi firma la richiesta di firma del certificato e restituisce il certificato firmato. Dopo aver configurato questo certificato firmato come certificato client del provider di chiavi attendibile, il server di chiavi accetta il traffico proveniente dal provider di chiavi attendibile.

Questa attività è un processo in due passaggi. Generare innanzitutto la richiesta di firma del certificato e inviarla al fornitore del server di chiavi. Caricare quindi il certificato firmato ricevuto dal fornitore del server di chiavi.

Prerequisiti

Procedura

  1. Assicurarsi di essere connessi al vCenter Server del cluster di Trust Authority. Ad esempio, è possibile immettere $global:defaultviservers per visualizzare tutti i server connessi.
  2. (Facoltativo) Se necessario, è possibile eseguire i comandi seguenti per assicurarsi di essere connessi al vCenter Server del cluster di Trust Authority. 
    Disconnect-VIServer -server * -Confirm:$false
Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
  3. Assegnare le informazioni su Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA a una variabile.
    Ad esempio: 
    $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA

    Se si eseguono queste attività in ordine, le informazioni su Get-TrustAuthorityCluster sono state in precedenza assegnate a una variabile (ad esempio $vTA = Get-TrustAuthorityCluster 'vTA Cluster').

    Questa variabile ottiene i provider di chiavi attendibili nel cluster di Trust Authority specificato, in questo caso $vTA.
    Nota: Se si dispone di più provider di chiavi attendibili, utilizzare comandi simili al seguente per selezionare quello desiderato: 
    Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
<The trusted key providers listing is displayed.>
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1

    L'utilizzo di Select-Object -Last 1 consente di selezionare l'ultimo provider di chiavi attendibile dell'elenco.

  4. Per generare una richiesta di firma del certificato, utilizzare il cmdlet New-TrustAuthorityKeyProviderClientCertificateCSR.
    Ad esempio: 
    New-TrustAuthorityKeyProviderClientCertificateCSR -KeyProvider $kp
    Viene visualizzata la richiesta CSR. È inoltre possibile utilizzare il cmdlet Get-TrustAuthorityKeyProviderClientCertificateCSR -KeyProvider $kp per ottenere la richiesta di firma del certificato.
  5. Per ottenere un certificato firmato, inviare la richiesta di firma del certificato al fornitore del server di chiavi.
    Il certificato deve essere in formato PEM. Se il certificato viene restituito in un formato diverso, convertirlo nel formato PEM utilizzando il comando openssl. Ad esempio:
    • Per convertire un certificato dal formato CRT a al formato PEM:
      openssl x509 -in clientcert.crt -out clientcert.pem -outform PEM
    • Per convertire un certificato dal formato DER al formato PEM:
      openssl x509 -inform DER -in clientcert.der -out clientcert.pem
  6. Quando si riceve il certificato firmato dal fornitore del server di chiavi, caricarlo nel server di chiavi utilizzando il cmdlet Set-TrustAuthorityKeyProviderClientCertificate.
    Ad esempio: 
    Set-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -CertificateFilePath <path/tp/certfile.pem>

risultati

Il provider di chiavi attendibile ha stabilito una relazione di attendibilità con il server di chiavi.