En este documento, se muestra cómo obtener el certificado raíz del servidor de vCenter.
Cuando un cliente, como clústeres de Anthos alojados en VMware (GKE On-Prem), envía una solicitud a tu servidor de vCenter, el servidor debe demostrar su identidad al cliente presentando un certificado o un paquete de certificados. Para verificar el certificado o paquete, clústeres de Anthos alojados en VMware debe tener el certificado raíz en la cadena de confianza.
Cuando completas un archivo de configuración de la estación de trabajo de administrador, debes proporcionar la ruta de acceso del certificado raíz en el campo vCenter.caCertPath.
Tu instalación de VMware tiene una autoridad certificada (CA) que emite un certificado para vCenter Server. El certificado raíz de la cadena de confianza es un certificado autofirmado que crea VMware.
Si no deseas usar la CA de VMware, que es la opción predeterminada, puedes configurar VMware para usar una autoridad certificada diferente.
Si vCenter Server usa un certificado que emitió la CA predeterminada de VMware, descarga el certificado de la siguiente manera:
curl -k "https://[SERVER_ADDRESS]/certs/download.zip" > download.zip
Reemplaza [SERVER_ADDRESS] por la dirección de tu servidor de vCenter.
Instala el comando unzip y descomprime el archivo del certificado:
sudo apt-get install unzip unzip download.zip
Si el comando de descompresión no funciona la primera vez, vuelve a ingresarlo.
Busca el archivo de certificado y un archivo de revocación en certs/lin. Por ejemplo:
457a65e8.0 457a65e8.r0
En el ejemplo anterior, 457a65e8.0 es el archivo del certificado y 457a65e8.r0 es el archivo de revocación.
Puedes cambiar el nombre del archivo de certificado por cualquier nombre que elijas. La extensión de archivo puede ser .pem, pero no tiene que ser .pem.
Por ejemplo, supongamos que cambias el nombre del archivo de certificado por vcenter-ca-cert.pem.
Visualiza el contenido de vcenter-ca-cert.pem:
cat vcenter-ca-cert.pem
El resultado muestra el certificado codificado en base64. Por ejemplo:
-----BEGIN CERTIFICATE----- MIIEGTCCAwGgAwIBAgIJAPW1akYrS5L6MA0GCSqGSIb3DQEBCwUAMIGXMQswCQYD VQQDDAJDQTEXMBUGCgmSJomT8ixkARkWB3ZzcGhlcmUxFTATBgoJkiaJk/IsZAEZ FgVsb2NhbDELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3JuaWExGTAXBgNV ... 0AaWpaT9QCTS31tbBgBYB1W+IS4qeMK5dz5Tko5460GgbSNLuz5Ml+spW745RbGA 76ePS+sXL0WYqZa1iyAb3x8E3xn5cVGtJlxXu4PkJa76OtdDjqWAlqkNvVZB -----END CERTIFICATE-----
Visualiza el certificado decodificado:
openssl x509 -in vcenter-ca-cert.pem -text -noout
El resultado muestra el certificado decodificado. Por ejemplo:
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
f5:b5:6a:46:2b:4b:92:fa
Signature Algorithm: sha256WithRSAEncryption
Issuer: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering
Validity
...
Subject: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public-Key: (2048 bit)
Modulus:
00:e0:39:28:9d:c1:f5:ac:69:04:3f:b0:a0:31:9e:
89:0b:6e:f7:1e:2b:3b:94:ac:1c:47:f0:52:2e:fa:
6d:52:2c:de:66:3e:4e:40:6a:58:c7:cc:99:46:81:
...
5c:d6:a9:ab:a9:87:26:0f:d2:ef:9e:a1:61:3d:38:
18:bf
Exponent: 65537 (0x10001)
X509v3 extensions:
...
Signature Algorithm: sha256WithRSAEncryption
58:24:57:36:a4:66:fa:16:e1:82:b1:ee:a7:1a:77:db:77:6c:
0a:b7:2e:7a:11:ca:0b:38:21:d2:d2:ab:3c:30:82:3f:ae:22:
...
ad:26:5c:57:bb:83:e4:25:ae:fa:3a:d7:43:8e:a5:80:96:a9:
0d:bd:56:41
Copia el archivo del certificado en la ubicación que elijas.
Luego, cuando necesites proporcionar un valor para caCertPath en un archivo de configuración, ingresa la ruta de acceso del archivo del certificado.
Por ejemplo, en el archivo de configuración de la estación de trabajo de administrador, haz lo siguiente:
gcp: ... vCenter: ... caCertPath: "/path/to/vcenter-ca-cert.pem"