키 제공자 서비스가 키 제공자에 연결하려면, 신뢰할 수 있는 키 제공자를 생성한 다음 vSphere 신뢰 기관 클러스터와 키 서버(KMS) 간에 신뢰 설정을 구성해야 합니다. 대부분의 KMIP 준수 키 서버의 경우, 이 구성에는 클라이언트 및 서버 인증서 설정이 포함됩니다.
이전에 vSphere 6.7에서 KMS 클러스터라고 했던 것을 이제 vSphere 7.0 이상에서는 키 제공자라고 합니다. 키 제공자에 대한 자세한 내용은 vSphere 신뢰 기관 키 제공자 서비스란? 항목을 참조하십시오.
운영 환경에서는 여러 개의 키 제공자를 생성할 수 있습니다. 여러 개의 키 제공자를 생성하면 회사 조직, 서로 다른 사업 단위 또는 고객 등을 기반으로 배포를 관리하는 방식을 결정할 수 있습니다.
이러한 작업을 순서대로 수행하려는 경우 vSphere 신뢰 기관 클러스터의 vCenter Server에 대한 연결 상태를 유지해야 합니다.
사전 요구 사항
- 신뢰 기관 관리자 사용.
- 신뢰 기관 상태 사용.
- 신뢰할 수 있는 ESXi 호스트 및 vCenter Server에 대한 정보 수집.
- 신뢰 기관 클러스터로 신뢰할 수 있는 호스트 정보 가져오기.
- 키 서버에서 키를 생성하고 활성화하여 신뢰할 수 있는 키 제공자의 기본 키가 되도록 합니다. 이 키는 신뢰할 수 있는 키 제공자가 사용하는 다른 키와 암호를 래핑합니다. 키 생성에 대한 자세한 내용은 키 서버 벤더 설명서를 참조하십시오.
프로시저
결과
신뢰할 수 있는 키 제공자가 생성되었고 키 서버와 신뢰가 설정되었습니다.
예: 신뢰 기관 클러스터에서 키 제공자 생성
이 예는 PowerCLI를 사용하여 신뢰 기관 클러스터에서 신뢰할 수 있는 키 제공자를 생성하는 방법을 보여 줍니다. 여기서는 사용자가 신뢰 기관 클러스터의 vCenter Server에 신뢰 기관 관리자로 연결되어 있다고 가정합니다. 또한 CSR을 벤더에 제출한 후 키 서버 벤더가 서명한 인증서를 사용합니다.
다음 표에는 사용되는 예제 구성 요소 및 값이 나와 있습니다.
구성 요소 | 값 |
---|---|
변수 $vTA |
Get-TrustAuthorityCluster 'vTA Cluster' |
변수 $kp |
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA |
변수 $cert |
Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers |
신뢰 기관 클러스터의 vCenter Server | 192.168.210.22 |
KMIP 준수 키 서버 | 192.168.110.91 |
KMIP 준수 키 서버 사용자 | vcqekmip |
신뢰 기관 클러스터 이름 | vTA 클러스터 |
신뢰 기관 관리자 | [email protected] |
PS C:\Users\Administrator.CORP> Disconnect-VIServer -server * -Confirm:$false PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!' PS C:\Users\Administrator.CORP> New-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA -PrimaryKeyId 8 -Name clkp -KmipServerAddress 192.168.110.91 Name PrimaryKeyId Type TrustAuthorityClusterId ---- ------------ ---- ----------------------- clkp 8 KMIP TrustAuthorityCluster-domain-c8 PS C:\Users\Administrator.CORP> New-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp <Export the client certificate when you need to use it.> PS C:\Users\Administrator.CORP> Export-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -FilePath clientcert.pem PS C:\Users\Administrator.CORP> $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA PS C:\Users\Administrator.CORP> Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers Certificate Trusted KeyProviderServerId KeyProviderId ----------- ------- ------------------- ------------- [Subject]... False domain-c8-clkp:192.16.... domain-c8-clkp PS C:\WINDOWS\system32> $cert.Certificate.ToString() [Subject] E=<domain>, CN=<IP address>, OU=VMware Engineering, O=VMware, L=Palo Alto, S=California, C=US [Issuer] O=<host>.eng.vmware.com, C=US, DC=local, DC=vsphere, CN=CA [Serial Number] 00CEF192BBF9D80C9F [Not Before] 8/10/2015 4:16:12 PM [Not After] 8/9/2020 4:16:12 PM [Thumbprint] C44068C124C057A3D07F51DCF18720E963604B70 PS C:\Users\Administrator.CORP> $cert = Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers PS C:\Users\Administrator.CORP> Add-TrustAuthorityKeyProviderServerCertificate -ServerCertificate $cert Certificate Trusted KeyProviderServerId KeyProviderId ----------- ------- ------------------- ------------- [Subject]... True domain-c8-clkp PS C:\Users\Administrator.CORP> $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA PS C:\Users\Administrator.CORP> $kp.Status KeyProviderId Health HealthDetails ServerStatus ------------- ------ ------------- ------------ domain-c8-kp4 Ok {} {192.168.210.22}
다음에 수행할 작업
신뢰 기관 클러스터 정보 내보내기으로 계속 진행합니다.