某些金鑰伺服器 (KMS) 廠商會要求您使用金鑰伺服器提供的用戶端憑證和私密金鑰來設定受信任金鑰提供者。設定受信任金鑰提供者後,金鑰伺服器會接受來自受信任金鑰提供者的流量。
必要條件
- 啟用 Trust Authority 管理員.
- 啟用 Trust Authority 狀態.
- 收集要信任的 ESXi主機和 vCenter Server 的相關資訊.
- 將受信任主機資訊匯入至 Trust Authority 叢集.
- 在 Trust Authority 叢集上建立金鑰提供者.
- 從金鑰伺服器廠商請求採用 PEM 格式的憑證和私密金鑰。如果以 PEM 以外的格式傳回憑證,請將其轉換為 PEM。如果私密金鑰受密碼保護,請在移除密碼的情況下建立 PEM 檔案。您可以針對兩項作業使用 openssl 命令。例如:
- 將憑證從 CRT 轉換為 PEM 格式:
openssl x509 -in clientcert.crt -out clientcert.pem -outform PEM
- 將憑證從 DER 轉換為 PEM 格式:
openssl x509 -inform DER -in clientcert.der -out clientcert.pem
- 從私密金鑰移除密碼:
openssl rsa -in key.pem -out keynopassword.pem Enter pass phrase for key.pem: writing RSA key
- 將憑證從 CRT 轉換為 PEM 格式:
程序
結果
受信任金鑰提供者已與金鑰伺服器建立信任。