Caricamento del certificato e della chiave privata per stabilire una connessione attendibile con il provider di chiavi attendibile

Alcuni fornitori di server di chiavi (KMS) richiedono la configurazione del provider di chiavi attendibile con il certificato client e la chiave privata forniti dal server di chiavi. Dopo aver configurato il provider di chiavi attendibile, il server di chiavi accetta il traffico proveniente dal provider di chiavi attendibile.

Prerequisiti

Abilitazione dell'amministratore di Trust Authority.
Abilitazione dello stato di Trust Authority.
Raccolta di informazioni sugli host ESXi e il vCenter Server da considerare attendibili.
Importazione delle informazioni sugli Host attendibili nel Cluster Trust Authority.
Creazione del provider di chiavi nel cluster Trust Authority.
Richiedere un certificato e una chiave privata in formato PEM al fornitore del server di chiavi. Se il certificato viene restituito in un formato diverso da PEM, convertirlo in PEM. Se la chiave privata è protetta con una password, creare un file PEM con la password rimossa. È possibile utilizzare il comando openssl per entrambe le operazioni. Ad esempio:
- Per convertire un certificato dal formato CRT a al formato PEM:
```
openssl x509 -in clientcert.crt -out clientcert.pem -outform PEM
```
- Per convertire un certificato dal formato DER al formato PEM:
```
openssl x509 -inform DER -in clientcert.der -out clientcert.pem
```
- Per rimuovere la password da una chiave privata:
```
openssl rsa -in key.pem -out keynopassword.pem
Enter pass phrase for key.pem:
writing RSA key
```

Procedura

Assicurarsi di essere connessi al vCenter Server del cluster di Trust Authority. Ad esempio, è possibile immettere $global:defaultviservers per visualizzare tutti i server connessi.

(Facoltativo) Se necessario, è possibile eseguire i comandi seguenti per assicurarsi di essere connessi al vCenter Server del cluster di Trust Authority.

Disconnect-VIServer -server * -Confirm:$false
Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'

Assegnare le informazioni su Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA a una variabile.
Ad esempio:
```
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
```
Se si eseguono queste attività in ordine, le informazioni su Get-TrustAuthorityCluster sono state in precedenza assegnate a una variabile (ad esempio $vTA = Get-TrustAuthorityCluster 'vTA Cluster').
La variabile $kp ottiene i provider di chiavi attendibili nel cluster di Trust Authority specificato, in questo caso $vTA.
Nota: Se si dispone di più provider di chiavi attendibili, utilizzare comandi simili al seguente per selezionare quello desiderato:
```
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
<The trusted key providers listing is displayed.>
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1
```
L'utilizzo di Select-Object -Last 1 consente di selezionare l'ultimo provider di chiavi attendibile dell'elenco.

Caricare il certificato e la chiave privata utilizzando il comando Set-TrustAuthorityKeyProviderClientCertificate.

Ad esempio:

Set-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -CertificateFilePath <path/to/certfile.pem> -PrivateKeyFilePath <path/to/privatekey.pem>

risultati

Il provider di chiavi attendibile ha stabilito una relazione di attendibilità con il server di chiavi.