証明書およびプライベートキーをアップロードして、信頼済みキープロバイダの信頼済み接続を確立する

一部のキーサーバ (KMS) ベンダーは、キーサーバによって提供されるクライアント証明書とプライベートキーを使用して信頼できるキープロバイダを構成する必要があります。信頼されたキープロバイダを構成した後、キーサーバは信頼されたキープロバイダからのトラフィックを受け入れます。

前提条件

信頼機関管理者の有効化。
信頼機関の状態の有効化。
信頼する ESXiホストおよび vCenter Server に関する情報の収集。
信頼機関クラスタへの信頼済みホストの情報のインポート。
信頼機関クラスタでのキープロバイダの作成。
キーサーバベンダーに PEM 形式の証明書とプライベートキーを要求します。証明書が PEM 以外の形式で返された場合は、PEM に変換します。プライベートキーがパスワードで保護されている場合は、パスワードが削除された PEM ファイルを作成します。両方の操作に openssl コマンドを使用できます。例：
- 証明書を CRT 形式から PEM 形式に変換するには：
```
openssl x509 -in clientcert.crt -out clientcert.pem -outform PEM
```
- 証明書を DER 形式から PEM 形式に変換するには：
```
openssl x509 -inform DER -in clientcert.der -out clientcert.pem
```
- プライベートキーからパスワードを削除するには：
```
openssl rsa -in key.pem -out keynopassword.pem
Enter pass phrase for key.pem:
writing RSA key
```

手順

信頼機関クラスタの vCenter Server に接続していることを確認します。たとえば、接続先のサーバをすべて表示するには $global:defaultviservers と入力します。
（オプション） 必要に応じて次のコマンドを実行して、信頼機関クラスタの vCenter Server に接続していることを確認できます。
```
Disconnect-VIServer -server * -Confirm:$false
Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
```
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA 情報を変数に割り当てます。
例：
```
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
```
これらのタスクを順番どおりに実行している場合、Get-TrustAuthorityCluster 情報を変数（$vTA = Get-TrustAuthorityCluster 'vTA Cluster' など）に割り当て済みです。
$kp 変数は、指定された信頼機関クラスタ内の信頼済みキープロバイダ（この場合は $vTA）を取得します。
注：信頼済みキープロバイダが複数ある場合は、次のようなコマンドを使用して、必要なものを選択します。
```
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
<The trusted key providers listing is displayed.>
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1
```
Select-Object -Last 1 を使用すると、リスト内の最後の信頼済みキープロバイダが選択されます。

Set-TrustAuthorityKeyProviderClientCertificate コマンドを使用して、証明書とプライベートキーをアップロードします。

例：

Set-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -CertificateFilePath <path/to/certfile.pem> -PrivateKeyFilePath <path/to/privatekey.pem>

結果

信頼済みキープロバイダがキーサーバとの信頼関係を確立しました。