Este documento mostra como obter o certificado raiz do seu servidor vCenter.
Quando um cliente, como clusters do Anthos no VMware (GKE On-Prem), envia uma solicitação ao servidor vCenter, o servidor precisa provar a própria identidade ao cliente apresentando um certificado ou um pacote de certificados. Para verificar o certificado ou pacote, os clusters do Anthos no VMware precisam ter o certificado raiz na cadeia de confiança.
Ao preencher um arquivo de configuração da estação de trabalho de administrador, você fornece o caminho do certificado raiz no campo vCenter.caCertPath.
A instalação do VMware tem uma autoridade de certificação (CA) que emite um certificado para o servidor vCenter. O certificado raiz na cadeia de confiança é um certificado autoassinado criado pela VMware.
Se você não quiser usar a CA do VMWare, que é o padrão, configure o VMware para usar uma autoridade de certificação diferente.
Se o servidor vCenter usa um certificado emitido pela CA do VMware padrão, faça o download do certificado da seguinte maneira:
curl -k "https://[SERVER_ADDRESS]/certs/download.zip" > download.zip
Substitua [SERVER_ADDRESS] pelo endereço do servidor do vCenter.
Instale o comando unzip e descompacte o arquivo de certificado:
sudo apt-get install unzip unzip download.zip
Se o comando para descompactar não funcionar na primeira vez, digite o comando novamente.
Encontre o arquivo de certificado e um de revogação em certs/lin. Exemplo:
457a65e8.0 457a65e8.r0
No exemplo anterior, 457a65e8.0 é o arquivo de certificado e 457a65e8.r0 é o arquivo de revogação.
É possível renomear o arquivo de certificado com qualquer nome que quiser. A extensão de arquivo pode ser .pem, mas não precisa ser .pem.
Por exemplo, suponha que você renomeie o arquivo de certificado para vcenter-ca-cert.pem.
Veja o conteúdo de vcenter-ca-cert.pem:
cat vcenter-ca-cert.pem
A saída mostra o certificado codificado em base64. Exemplo:
-----BEGIN CERTIFICATE----- MIIEGTCCAwGgAwIBAgIJAPW1akYrS5L6MA0GCSqGSIb3DQEBCwUAMIGXMQswCQYD VQQDDAJDQTEXMBUGCgmSJomT8ixkARkWB3ZzcGhlcmUxFTATBgoJkiaJk/IsZAEZ FgVsb2NhbDELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3JuaWExGTAXBgNV ... 0AaWpaT9QCTS31tbBgBYB1W+IS4qeMK5dz5Tko5460GgbSNLuz5Ml+spW745RbGA 76ePS+sXL0WYqZa1iyAb3x8E3xn5cVGtJlxXu4PkJa76OtdDjqWAlqkNvVZB -----END CERTIFICATE-----
Veja o certificado decodificado:
openssl x509 -in vcenter-ca-cert.pem -text -noout
A saída mostra o certificado decodificado. Por exemplo:
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
f5:b5:6a:46:2b:4b:92:fa
Signature Algorithm: sha256WithRSAEncryption
Issuer: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering
Validity
...
Subject: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public-Key: (2048 bit)
Modulus:
00:e0:39:28:9d:c1:f5:ac:69:04:3f:b0:a0:31:9e:
89:0b:6e:f7:1e:2b:3b:94:ac:1c:47:f0:52:2e:fa:
6d:52:2c:de:66:3e:4e:40:6a:58:c7:cc:99:46:81:
...
5c:d6:a9:ab:a9:87:26:0f:d2:ef:9e:a1:61:3d:38:
18:bf
Exponent: 65537 (0x10001)
X509v3 extensions:
...
Signature Algorithm: sha256WithRSAEncryption
58:24:57:36:a4:66:fa:16:e1:82:b1:ee:a7:1a:77:db:77:6c:
0a:b7:2e:7a:11:ca:0b:38:21:d2:d2:ab:3c:30:82:3f:ae:22:
...
ad:26:5c:57:bb:83:e4:25:ae:fa:3a:d7:43:8e:a5:80:96:a9:
0d:bd:56:41
Copie o arquivo de certificado em um local de sua escolha.
Em seguida, quando você precisar fornecer um valor para caCertPath em um arquivo de configuração,
insira o caminho do arquivo de certificado.
Por exemplo, no arquivo de configuração da estação de trabalho de administrador:
gcp: ... vCenter: ... caCertPath: "/path/to/vcenter-ca-cert.pem"