為了讓金鑰提供者服務連線到金鑰提供者,必須建立受信任金鑰提供者,然後在 vSphere Trust Authority 叢集與金鑰伺服器 (KMS) 之間進行信任設定。對於大多數符合 KMIP 的金鑰伺服器,此設定程序包括設定用戶端和伺服器憑證。
先前在 vSphere 6.7 中稱為 KMS 叢集,現在在 vSphere 7.0 及更新版本中稱為金鑰提供者。如需金鑰提供者的詳細資訊,請參閱什麼是 vSphere Trust Authority 金鑰提供者服務。
在生產環境中,您可以建立多個金鑰提供者。透過建立多個金鑰提供者,您可以解決如何根據公司組織、不同的業務單位或客戶等管理部署的問題。
如果按順序執行這些工作,則仍會連線至 vSphere Trust Authority 叢集的 vCenter Server。
必要條件
- 啟用 Trust Authority 管理員.
- 啟用 Trust Authority 狀態.
- 收集要信任的 ESXi主機和 vCenter Server 的相關資訊.
- 將受信任主機資訊匯入至 Trust Authority 叢集.
- 在金鑰伺服器上建立並啟用金鑰,以用作受信任金鑰提供者的主要金鑰。此金鑰會包裝此受信任金鑰提供者所使用的其他金鑰和密碼。如需有關建立金鑰的詳細資訊,請參閱金鑰伺服器廠商說明文件。
程序
結果
受信任金鑰提供者隨即建立,並與金鑰伺服器建立了信任。
範例: 在 Trust Authority 叢集上建立金鑰提供者
此範例顯示如何使用 PowerCLI 在 Trust Authority 叢集上建立受信任的金鑰提供者。假設您以 Trust Authority 管理員身分連線至 Trust Authority 叢集的 vCenter Server。在向廠商提交 CSR 後,它還使用金鑰伺服器廠商簽署的憑證。
下表顯示了所使用的範例元件和值。
元件 | 值 |
---|---|
變數 $vTA |
Get-TrustAuthorityCluster 'vTA Cluster' |
變數 $kp |
Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA |
變數 $cert |
Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers |
Trust Authority 叢集的 vCenter Server | 192.168.210.22 |
符合 KMIP 的金鑰伺服器 | 192.168.110.91 |
符合 KMIP 的金鑰伺服器使用者 | vcqekmip |
Trust Authority 叢集名稱 | vTA 叢集 |
Trust Authority 管理員 | [email protected] |
PS C:\Users\Administrator.CORP> Disconnect-VIServer -server * -Confirm:$false PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!' PS C:\Users\Administrator.CORP> New-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA -PrimaryKeyId 8 -Name clkp -KmipServerAddress 192.168.110.91 Name PrimaryKeyId Type TrustAuthorityClusterId ---- ------------ ---- ----------------------- clkp 8 KMIP TrustAuthorityCluster-domain-c8 PS C:\Users\Administrator.CORP> New-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp <Export the client certificate when you need to use it.> PS C:\Users\Administrator.CORP> Export-TrustAuthorityKeyProviderClientCertificate -KeyProvider $kp -FilePath clientcert.pem PS C:\Users\Administrator.CORP> $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA PS C:\Users\Administrator.CORP> Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers Certificate Trusted KeyProviderServerId KeyProviderId ----------- ------- ------------------- ------------- [Subject]... False domain-c8-clkp:192.16.... domain-c8-clkp PS C:\WINDOWS\system32> $cert.Certificate.ToString() [Subject] E=<domain>, CN=<IP address>, OU=VMware Engineering, O=VMware, L=Palo Alto, S=California, C=US [Issuer] O=<host>.eng.vmware.com, C=US, DC=local, DC=vsphere, CN=CA [Serial Number] 00CEF192BBF9D80C9F [Not Before] 8/10/2015 4:16:12 PM [Not After] 8/9/2020 4:16:12 PM [Thumbprint] C44068C124C057A3D07F51DCF18720E963604B70 PS C:\Users\Administrator.CORP> $cert = Get-TrustAuthorityKeyProviderServerCertificate -KeyProviderServer $kp.KeyProviderServers PS C:\Users\Administrator.CORP> Add-TrustAuthorityKeyProviderServerCertificate -ServerCertificate $cert Certificate Trusted KeyProviderServerId KeyProviderId ----------- ------- ------------------- ------------- [Subject]... True domain-c8-clkp PS C:\Users\Administrator.CORP> $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA PS C:\Users\Administrator.CORP> $kp.Status KeyProviderId Health HealthDetails ServerStatus ------------- ------ ------------- ------------ domain-c8-kp4 Ok {} {192.168.210.22}