某些金鑰伺服器 (KMS) 廠商會要求產生憑證簽署要求 (CSR) 並將該 CSR 傳送到金鑰伺服器廠商。金鑰伺服器廠商簽署 CSR 並傳回已簽署憑證。將此簽署憑證設定為受信任金鑰提供者的用戶端憑證後,金鑰伺服器會接受來自受信任金鑰提供者的流量。
此工作分為兩個步驟。首先,產生 CSR 並將其傳送給金鑰伺服器廠商。然後,上傳從金鑰伺服器廠商收到的簽署憑證。
程序
- 確保您已連線至 Trust Authority 叢集的 vCenter Server。例如,您可以輸入 $global:defaultviservers 來顯示所有已連線的伺服器。
- (選擇性) 如有必要,您可以執行下列命令,以確保您已連線至 Trust Authority 叢集的 vCenter Server。
Disconnect-VIServer -server * -Confirm:$false
Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
- 將
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA 資訊指派給變數。
例如:
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
如果按順序執行這些工作,則先前已將 Get-TrustAuthorityCluster 資訊指派給變數 (例如 $vTA = Get-TrustAuthorityCluster 'vTA Cluster')。
此變數會取得指定 Trust Authority 叢集中受信任的金鑰提供者,在此案例中為
$vTA。
備註: 如果您有多個受信任金鑰提供者,請使用類似下列內容的命令根據需要進行選取:
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
<The trusted key providers listing is displayed.>
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA | Select-Object -Last 1
使用 Select-Object -Last 1 會選取清單中的最後一個受信任金鑰提供者。
- 若要產生 CSR,請使用 New-TrustAuthorityKeyProviderClientCertificateCSR cmdlet。
例如:
New-TrustAuthorityKeyProviderClientCertificateCSR -KeyProvider $kp
隨即顯示 CSR。您也可以使用
Get-TrustAuthorityKeyProviderClientCertificateCSR -KeyProvider $kp cmdlet 來取得 CSR。
- 若要取得已簽署的憑證,請將 CSR 提交至金鑰伺服器廠商。
憑證必須採用 PEM 格式。如果以 PEM 以外的格式傳回憑證,請使用
openssl 命令將其轉換為 PEM。例如:
- 當您從金鑰伺服器廠商收到已簽署的憑證時,請使用 Set-TrustAuthorityKeyProviderClientCertificate cmdlet 將憑證上傳至金鑰伺服器。
例如:
Set-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -CertificateFilePath <path/tp/certfile.pem>
