一部のキー サーバ (KMS) ベンダーでは、証明書署名リクエスト (CSR) を生成してキー サーバ ベンダーに送信することが要求されます。キー サーバ ベンダーは CSR に署名し、署名済み証明書を返します。この署名済み証明書を信頼済みキー プロバイダのクライアント証明書として設定すると、キー サーバは信頼済みキー プロバイダからのトラフィックを受け入れます。
このタスクは 2 段階のプロセスで行います。まず、CSR を生成してキー サーバ ベンダーに送信します。次に、キー サーバ ベンダーから受け取った署名済み証明書をアップロードします。
手順
- 信頼機関クラスタの vCenter Server に接続していることを確認します。たとえば、接続先のサーバをすべて表示するには $global:defaultviservers と入力します。
- (オプション) 必要に応じて次のコマンドを実行して、信頼機関クラスタの vCenter Server に接続していることを確認できます。
Disconnect-VIServer -server * -Confirm:$false
Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
-
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA 情報を変数に割り当てます。
例:
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
これらのタスクを順番どおりに実行している場合、Get-TrustAuthorityCluster 情報を変数($vTA = Get-TrustAuthorityCluster 'vTA Cluster' など)に割り当て済みです。
この変数は、指定された信頼機関クラスタ内の信頼済みキー プロバイダ(この場合は
$vTA)を取得します。
注: 信頼済みキー プロバイダが複数ある場合は、次のようなコマンドを使用して、必要なものを選択します。
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
<The trusted key providers listing is displayed.>
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1
Select-Object -Last 1 を使用すると、リスト内の最後の信頼済みキー プロバイダが選択されます。
- CSR を生成するには、New-TrustAuthorityKeyProviderClientCertificateCSR コマンドレットを使用します。
例:
New-TrustAuthorityKeyProviderClientCertificateCSR -KeyProvider $kp
CSR が表示されます。また、
Get-TrustAuthorityKeyProviderClientCertificateCSR -KeyProvider $kp コマンドレットを使用して CSR を取得することもできます。
- 署名済み証明書を取得するには、キー サーバ ベンダーに CSR を送信します。
証明書は PEM 形式である必要があります。証明書が PEM 以外の形式で返された場合は、
openssl コマンドを使用して PEM に変換します。例:
- キー サーバ ベンダーから署名済み証明書を受信したら、Set-TrustAuthorityKeyProviderClientCertificate コマンドレットを使用して証明書をキー サーバにアップロードします。
例:
Set-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -CertificateFilePath <path/tp/certfile.pem>
結果
信頼済みキー プロバイダがキー サーバとの信頼関係を確立しました。
