Este documento mostra como obter o certificado raiz do seu servidor vCenter.
Quando um cliente, como clusters do Anthos no VMware (GKE On-Prem), envia uma solicitação ao servidor vCenter, o servidor precisa provar a própria identidade ao cliente apresentando um certificado ou um pacote de certificados. Para verificar o certificado ou pacote, os clusters do Anthos no VMware precisam ter o certificado raiz na cadeia de confiança.
Ao preencher um arquivo de configuração da estação de trabalho de administrador, você fornece o caminho do certificado raiz no campo vCenter.caCertPath
.
A instalação do VMware tem uma autoridade de certificação (CA) que emite um certificado para o servidor vCenter. O certificado raiz na cadeia de confiança é um certificado autoassinado criado pela VMware.
Se você não quiser usar a CA do VMWare, que é o padrão, configure o VMware para usar uma autoridade de certificação diferente.
Se o servidor vCenter usa um certificado emitido pela CA do VMware padrão, faça o download do certificado da seguinte maneira:
curl -k "https://[SERVER_ADDRESS]/certs/download.zip" > download.zip
Substitua [SERVER_ADDRESS] pelo endereço do servidor do vCenter.
Instale o comando unzip
e descompacte o arquivo de certificado:
sudo apt-get install unzip unzip download.zip
Se o comando para descompactar não funcionar na primeira vez, digite o comando novamente.
Encontre o arquivo de certificado e um de revogação em certs/lin
. Exemplo:
457a65e8.0 457a65e8.r0
No exemplo anterior, 457a65e8.0
é o arquivo de certificado e 457a65e8.r0
é o arquivo de revogação.
É possível renomear o arquivo de certificado com qualquer nome que quiser. A extensão de arquivo pode ser .pem
, mas não precisa ser .pem
.
Por exemplo, suponha que você renomeie o arquivo de certificado para vcenter-ca-cert.pem
.
Veja o conteúdo de vcenter-ca-cert.pem
:
cat vcenter-ca-cert.pem
A saída mostra o certificado codificado em base64. Exemplo:
-----BEGIN CERTIFICATE----- MIIEGTCCAwGgAwIBAgIJAPW1akYrS5L6MA0GCSqGSIb3DQEBCwUAMIGXMQswCQYD VQQDDAJDQTEXMBUGCgmSJomT8ixkARkWB3ZzcGhlcmUxFTATBgoJkiaJk/IsZAEZ FgVsb2NhbDELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3JuaWExGTAXBgNV ... 0AaWpaT9QCTS31tbBgBYB1W+IS4qeMK5dz5Tko5460GgbSNLuz5Ml+spW745RbGA 76ePS+sXL0WYqZa1iyAb3x8E3xn5cVGtJlxXu4PkJa76OtdDjqWAlqkNvVZB -----END CERTIFICATE-----
Veja o certificado decodificado:
openssl x509 -in vcenter-ca-cert.pem -text -noout
A saída mostra o certificado decodificado. Por exemplo:
Certificate: Data: Version: 3 (0x2) Serial Number: f5:b5:6a:46:2b:4b:92:fa Signature Algorithm: sha256WithRSAEncryption Issuer: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering Validity ... Subject: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public-Key: (2048 bit) Modulus: 00:e0:39:28:9d:c1:f5:ac:69:04:3f:b0:a0:31:9e: 89:0b:6e:f7:1e:2b:3b:94:ac:1c:47:f0:52:2e:fa: 6d:52:2c:de:66:3e:4e:40:6a:58:c7:cc:99:46:81: ... 5c:d6:a9:ab:a9:87:26:0f:d2:ef:9e:a1:61:3d:38: 18:bf Exponent: 65537 (0x10001) X509v3 extensions: ... Signature Algorithm: sha256WithRSAEncryption 58:24:57:36:a4:66:fa:16:e1:82:b1:ee:a7:1a:77:db:77:6c: 0a:b7:2e:7a:11:ca:0b:38:21:d2:d2:ab:3c:30:82:3f:ae:22: ... ad:26:5c:57:bb:83:e4:25:ae:fa:3a:d7:43:8e:a5:80:96:a9: 0d:bd:56:41
Copie o arquivo de certificado em um local de sua escolha.
Em seguida, quando você precisar fornecer um valor para caCertPath
em um arquivo de configuração,
insira o caminho do arquivo de certificado.
Por exemplo, no arquivo de configuração da estação de trabalho de administrador:
gcp: ... vCenter: ... caCertPath: "/path/to/vcenter-ca-cert.pem"