Creazione del provider di chiavi nel cluster Trust Authority

Per fare in modo che il servizio del provider di chiavi si connetta a un provider di chiavi, è necessario creare un provider di chiavi attendibile, quindi configurare una configurazione di attendibilità tra il cluster vSphere Trust Authority e il server chiavi (KMS). Per la maggior parte dei server chiavi conformi a KMIP, questa configurazione implica l'impostazione di certificati client e server.

Quello che in precedenza era denominato cluster KMS in vSphere 6.7 è ora denominato provider di chiavi in vSphere 7.0 e versioni successive. Per ulteriori informazioni sui provider di chiavi, vedere Che cos'è il servizio del provider di chiavi vSphere Trust Authority?.

In un ambiente di produzione, è possibile creare più provider di chiavi. La creazione di più provider di chiavi consente di gestire la modalità di gestione della distribuzione in base all'organizzazione dell'azienda, a diversi clienti o business unit e così via.

Se si seguono queste attività nell'ordine, si è comunque connessi a vCenter Server del cluster vSphere Trust Authority.

Prerequisiti

Abilitazione dell'amministratore di Trust Authority.
Abilitazione dello stato di Trust Authority.
Raccolta di informazioni sugli host ESXi e il vCenter Server da considerare attendibili.
Importazione delle informazioni sugli Host attendibili nel Cluster Trust Authority.
Creare e attivare una chiave sul server chiavi in modo che diventi la chiave primaria per il provider di chiavi attendibile. Questa chiave esegue il wrapping di altri segreti e chiavi utilizzati da questo provider di chiavi attendibile. Per ulteriori informazioni sulla creazione delle chiavi, vedere la documentazione del fornitore del server di chiavi.

Procedura

Assicurarsi di essere connessi al vCenter Server del cluster di Trust Authority. Ad esempio, è possibile immettere $global:defaultviservers per visualizzare tutti i server connessi.

(Facoltativo) Se necessario, è possibile eseguire i comandi seguenti per assicurarsi di essere connessi al vCenter Server del cluster di Trust Authority.

Disconnect-VIServer -server * -Confirm:$false
Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'

Per creare il provider di chiavi attendibile, eseguire il cmdlet New-TrustAuthorityKeyProvider.
Ad esempio, questo comando utilizza 1 per PrimaryKeyID e il nome clkp. Se si eseguono queste attività in ordine, le informazioni su Get-TrustAuthorityCluster sono state in precedenza assegnate a una variabile (ad esempio $vTA = Get-TrustAuthorityCluster 'vTA Cluster').
```
New-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA -PrimaryKeyId 1 -Name clkp -KmipServerAddress ip_address
```
PrimaryKeyID corrisponde in genere a un ID chiave proveniente dal server chiavi sotto forma di UUID. Non utilizzare il nome della chiave per PrimaryKeyID. Il valore PrimaryKeyID dipende dal fornitore. Vedere la documentazione relativa al server chiavi. Il cmdlet New-TrustAuthorityKeyProvider può scegliere altre opzioni, ad esempio KmipServerPort, ProxyAddress e ProxyPort. Per ulteriori informazioni, vedere la documentazione della guida in linea New-TrustAuthorityKeyProvider.
Ogni provider di chiavi logico, indipendentemente dal tipo (provider di chiavi standard, attendibile e nativo), deve avere un nome univoco in tutti i sistemi vCenter Server.

Per ulteriori informazioni, vedere Denominazione provider di chiavi.

Nota: Per aggiungere più server chiavi al provider di chiavi, utilizzare il cmdlet Add-TrustAuthorityKeyProviderServer.

Vengono visualizzate le informazioni del provider di chiavi.

Stabilire la connessione attendibile in modo che il server chiavi consideri attendibile il provider di chiavi attendibile. Il processo esatto dipende dai certificati che il server chiavi accetta e dai criteri dell'azienda. Selezionare l'opzione appropriata per il server e completare i passaggi.

Opzione	Vedere
Caricamento del certificato client	Caricamento del certificato client per stabilire una connessione attendibile con il provider di chiavi attendibile.
Caricamento del certificato KMS e della chiave privata	Caricamento del certificato e della chiave privata per stabilire una connessione attendibile con il provider di chiavi attendibile.
Nuova richiesta di firma certificato	Creazione di una richiesta di firma del certificato per stabilire una connessione attendibile con un provider di chiavi attendibile.

Completare la configurazione dell'attendibilità caricando un certificato del server chiavi in modo che il provider di chiavi attendibile consideri attendibile il server chiavi.
1. Assegnare le informazioni su Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA a una variabile.
  Ad esempio:
```
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
```
  Questa variabile ottiene i provider di chiavi attendibili nel cluster di Trust Authority specificato, in questo caso $vTA.
  
  Nota: Se si dispone di più provider di chiavi attendibili, utilizzare comandi simili al seguente per selezionare quello desiderato:
```
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
<The trusted key providers listing is displayed.>
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1
```
  L'utilizzo di Select-Object -Last 1 consente di selezionare l'ultimo provider di chiavi attendibile dell'elenco.
2. Per ottenere il certificato del server chiavi, eseguire il comando Get-TrustAuthorityKeyProviderServerCertificate.
  Ad esempio:
```
Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers
```
  Vengono visualizzate le informazioni relative al certificato del server. Inizialmente, il certificato non è attendibile, quindi lo stato Attendibile corrisponde a False. Se sono stati configurati più server chiavi, viene restituito un elenco di certificati. Verificare e aggiungere ciascun certificato utilizzando le istruzioni seguenti.
3. Prima di considerare attendibile il certificato, assegnare le informazioni su Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers a una variabile (ad esempio cert), quindi eseguire il comando $cert.Certificate.ToString() e verificare l'output.
  Ad esempio:
```
$cert = Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers
$cert.Certificate.ToString()
```
  Vengono visualizzate le informazioni relative al certificato, tra cui oggetto, emittente e altre informazioni.
4. Per aggiungere il certificato del server KMIP al provider di chiavi attendibile, eseguire Add-TrustAuthorityKeyProviderServerCertificate.
  Ad esempio:
```
Add-TrustAuthorityKeyProviderServerCertificate -ServerCertificate $cert
```
  Le informazioni sul certificato vengono visualizzate e lo stato Attendibile corrisponde a True.
Verificare lo stato del provider di chiavi.
1. Per aggiornare lo stato del provider di chiavi, riassegnare la variabile $kp.
  Ad esempio:
```
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
```
  Nota: Se si dispone di più provider di chiavi attendibili, utilizzare comandi simili al seguente per selezionare quello desiderato:
```
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
<The trusted key providers listing is displayed.>
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1
```
  L'utilizzo di Select-Object -Last 1 consente di selezionare l'ultimo provider di chiavi attendibile dell'elenco.
2. Eseguire il comando $kp.Status per ottenere lo stato del provider di chiavi.
  Ad esempio:
```
$kp.Status
```
  Nota: L'aggiornamento dello stato può richiedere alcuni minuti. Per visualizzare lo stato, riassegnare la variabile $kp ed eseguire nuovamente il comando $kp.Status.
Uno stato di integrità corrispondente a OK indica che il provider di chiavi è in esecuzione correttamente.

risultati

Viene creato il provider di chiavi attendibile e viene stabilita una relazione di attendibilità con il server chiavi.

Esempio: Creazione del provider di chiavi nel cluster Trust Authority

In questo esempio viene illustrato come utilizzare PowerCLI per creare il provider di chiavi attendibile nel cluster Trust Authority. Si presuppone che l'utente sia connesso a vCenter Server del cluster Trust Authority come amministratore. Utilizza inoltre un certificato firmato dal fornitore del server delle chiavi dopo aver inviato una richiesta CSR al fornitore.

La tabella seguente include i componenti e i valori di esempio utilizzati.

Tabella 1. Esempio di configurazione di vSphere Trust Authority
Componente	Valore
Variabile `$vTA`	Get-TrustAuthorityCluster 'vTA Cluster'
Variabile `$kp`	Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
Variabile `$cert`	Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers
vCenter Server per il cluster Trust Authority	192.168.210.22
Server chiavi conforme a KMIP	192.168.110.91
Utente del server di chiavi conforme a KMIP	vcqekmip
Nome cluster Trust Authority	Cluster vTA
Amministratore di Trust Authority	[email protected]

PS C:\Users\Administrator.CORP> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!'

PS C:\Users\Administrator.CORP> New-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA -PrimaryKeyId 8 -Name clkp -KmipServerAddress 192.168.110.91
Name                 PrimaryKeyId         Type       TrustAuthorityClusterId
----                 ------------         ----       -----------------------
clkp                 8                    KMIP       TrustAuthorityCluster-domain-c8

PS C:\Users\Administrator.CORP> New-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp
<Export the client certificate when you need to use it.>
PS C:\Users\Administrator.CORP> Export-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -FilePath clientcert.pem

PS C:\Users\Administrator.CORP> $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
PS C:\Users\Administrator.CORP> Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers

Certificate                              Trusted    KeyProviderServerId       KeyProviderId
-----------                              -------    -------------------       -------------
[Subject]...                             False      domain-c8-clkp:192.16.... domain-c8-clkp

PS C:\WINDOWS\system32> $cert.Certificate.ToString()
[Subject]
  E=<domain>, CN=<IP address>, OU=VMware Engineering, O=VMware, L=Palo Alto, S=California, C=US

[Issuer]
  O=<host>.eng.vmware.com, C=US, DC=local, DC=vsphere, CN=CA

[Serial Number]
  00CEF192BBF9D80C9F

[Not Before]
  8/10/2015 4:16:12 PM

[Not After]
  8/9/2020 4:16:12 PM

[Thumbprint]
  C44068C124C057A3D07F51DCF18720E963604B70

PS C:\Users\Administrator.CORP> $cert = Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers
PS C:\Users\Administrator.CORP> Add-TrustAuthorityKeyProviderServerCertificate -ServerCertificate $cert

Certificate                              Trusted    KeyProviderServerId       KeyProviderId
-----------                              -------    -------------------       -------------
[Subject]...                             True                                 domain-c8-clkp

PS C:\Users\Administrator.CORP> $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
PS C:\Users\Administrator.CORP> $kp.Status

KeyProviderId Health HealthDetails ServerStatus
------------- ------ ------------- ------------
domain-c8-kp4     Ok {}            {192.168.210.22}

Operazioni successive

Procedere con Esportazione delle informazioni sul Cluster Trust Authority.