Ce document explique comment obtenir le certificat racine de votre serveur vCenter.
Lorsqu'un client, tel que Anthos clusters on VMware (GKE On-Prem), envoie une requête à votre serveur vCenter, celui-ci doit prouver son identité au client en présentant un certificat ou un bundle de certificats. Pour valider le certificat ou le bundle, le certificat racine doit se trouver dans la chaîne de confiance d'Anthos clusters on VMware.
Lorsque vous remplissez un fichier de configuration de poste de travail administrateur, vous indiquez le chemin d'accès du certificat racine dans le champ vCenter.caCertPath.
Votre installation VMware inclut une autorité de certification qui émet un certificat pour votre serveur vCenter. Le certificat racine de la chaîne de confiance est un certificat autosigné créé par VMware.
Si vous ne souhaitez pas utiliser l'autorité de certification VMWare, qui est définie par défaut, vous pouvez configurer VMware de sorte à utiliser une autre autorité de certification.
Si votre serveur vCenter utilise un certificat émis par l'autorité de certification VMware par défaut, téléchargez-le comme suit :
curl -k "https://[SERVER_ADDRESS]/certs/download.zip" > download.zip
Remplacez [SERVER_ADDRESS] par l'adresse de votre serveur vCenter.
Installez la commande unzip et décompressez le fichier de certificat :
sudo apt-get install unzip unzip download.zip
Si la commande de décompression ne fonctionne pas au premier essai, saisissez-la à nouveau.
Recherchez le fichier de certificat et un fichier de révocation dans certs/lin. Exemple :
457a65e8.0 457a65e8.r0
Dans l'exemple ci-dessus, 457a65e8.0 correspond au fichier de certificat et 457a65e8.r0 au fichier de révocation.
Vous pouvez renommer le fichier de certificat comme vous le souhaitez. L'extension du fichier peut être .pem, mais ce n'est pas nécessairement le cas de .pem.
Par exemple, supposons que vous renommez le fichier de certificat en vcenter-ca-cert.pem.
Affichez le contenu de vcenter-ca-cert.pem :
cat vcenter-ca-cert.pem
Le résultat affiche le certificat encodé en base64. Exemple :
-----BEGIN CERTIFICATE----- MIIEGTCCAwGgAwIBAgIJAPW1akYrS5L6MA0GCSqGSIb3DQEBCwUAMIGXMQswCQYD VQQDDAJDQTEXMBUGCgmSJomT8ixkARkWB3ZzcGhlcmUxFTATBgoJkiaJk/IsZAEZ FgVsb2NhbDELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3JuaWExGTAXBgNV ... 0AaWpaT9QCTS31tbBgBYB1W+IS4qeMK5dz5Tko5460GgbSNLuz5Ml+spW745RbGA 76ePS+sXL0WYqZa1iyAb3x8E3xn5cVGtJlxXu4PkJa76OtdDjqWAlqkNvVZB -----END CERTIFICATE-----
Affichez le certificat décodé :
openssl x509 -in vcenter-ca-cert.pem -text -noout
La sortie affiche le certificat décodé. Par exemple :
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
f5:b5:6a:46:2b:4b:92:fa
Signature Algorithm: sha256WithRSAEncryption
Issuer: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering
Validity
...
Subject: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public-Key: (2048 bit)
Modulus:
00:e0:39:28:9d:c1:f5:ac:69:04:3f:b0:a0:31:9e:
89:0b:6e:f7:1e:2b:3b:94:ac:1c:47:f0:52:2e:fa:
6d:52:2c:de:66:3e:4e:40:6a:58:c7:cc:99:46:81:
...
5c:d6:a9:ab:a9:87:26:0f:d2:ef:9e:a1:61:3d:38:
18:bf
Exponent: 65537 (0x10001)
X509v3 extensions:
...
Signature Algorithm: sha256WithRSAEncryption
58:24:57:36:a4:66:fa:16:e1:82:b1:ee:a7:1a:77:db:77:6c:
0a:b7:2e:7a:11:ca:0b:38:21:d2:d2:ab:3c:30:82:3f:ae:22:
...
ad:26:5c:57:bb:83:e4:25:ae:fa:3a:d7:43:8e:a5:80:96:a9:
0d:bd:56:41
Copiez le fichier de certificat à l'emplacement de votre choix.
Lorsque vous devez fournir une valeur pour caCertPath dans un fichier de configuration, saisissez le chemin d'accès de votre fichier de certificat.
Par exemple, dans le fichier de configuration de votre poste de travail administrateur :
gcp: ... vCenter: ... caCertPath: "/path/to/vcenter-ca-cert.pem"