Obtén tu certificado raíz de CA de vCenter

En este documento, se muestra cómo obtener el certificado raíz del servidor de vCenter.

Cuando un cliente, como Google Distributed Cloud, envía una solicitud a tu servidor de vCenter, el servidor debe demostrar su identidad al cliente presentando un certificado o un paquete de certificados. Para verificar el certificado o el paquete, GKE en VMware debe tener el certificado raíz en la cadena de confianza.

Cuando completas un archivo de configuración de la estación de trabajo de administrador, debes proporcionar la ruta de acceso del certificado raíz en el campo vCenter.caCertPath.

Tu instalación de VMware tiene una autoridad certificada (CA) que emite un certificado para vCenter Server. El certificado raíz de la cadena de confianza es un certificado autofirmado que crea VMware.

Si no deseas usar la CA de VMware, que es la opción predeterminada, puedes configurar VMware para usar una autoridad certificada diferente.

Si vCenter Server usa un certificado que emitió la CA predeterminada de VMware, descarga el certificado de la siguiente manera:

curl -k "https://[SERVER_ADDRESS]/certs/download.zip" > download.zip

Reemplaza [SERVER_ADDRESS] por la dirección de tu servidor de vCenter.

Instala el comando unzip y descomprime el archivo del certificado:

sudo apt-get install unzip
unzip download.zip

Si el comando de descompresión no funciona la primera vez, vuelve a ingresarlo.

Busca el archivo de certificado y un archivo de revocación en certs/lin. Por ejemplo:

457a65e8.0
457a65e8.r0

En el ejemplo anterior, 457a65e8.0 es el archivo del certificado y 457a65e8.r0 es el archivo de revocación.

Puedes cambiar el nombre del archivo de certificado por cualquier nombre que elijas. La extensión de archivo puede ser .pem, pero no tiene que ser .pem.

Por ejemplo, supongamos que cambias el nombre del archivo de certificado por vcenter-ca-cert.pem.

Visualiza el contenido de vcenter-ca-cert.pem:

cat vcenter-ca-cert.pem

El resultado muestra el certificado codificado en base64. Por ejemplo:

-----BEGIN CERTIFICATE-----
MIIEGTCCAwGgAwIBAgIJAPW1akYrS5L6MA0GCSqGSIb3DQEBCwUAMIGXMQswCQYD
VQQDDAJDQTEXMBUGCgmSJomT8ixkARkWB3ZzcGhlcmUxFTATBgoJkiaJk/IsZAEZ
FgVsb2NhbDELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3JuaWExGTAXBgNV
...
0AaWpaT9QCTS31tbBgBYB1W+IS4qeMK5dz5Tko5460GgbSNLuz5Ml+spW745RbGA
76ePS+sXL0WYqZa1iyAb3x8E3xn5cVGtJlxXu4PkJa76OtdDjqWAlqkNvVZB
-----END CERTIFICATE-----

Visualiza el certificado decodificado:

openssl x509 -in vcenter-ca-cert.pem -text -noout

El resultado muestra el certificado decodificado. Por ejemplo:

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            f5:b5:6a:46:2b:4b:92:fa
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering
        Validity
            ...
        Subject: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)
                Modulus:
                    00:e0:39:28:9d:c1:f5:ac:69:04:3f:b0:a0:31:9e:
                    89:0b:6e:f7:1e:2b:3b:94:ac:1c:47:f0:52:2e:fa:
                    6d:52:2c:de:66:3e:4e:40:6a:58:c7:cc:99:46:81:
                    ...
                    5c:d6:a9:ab:a9:87:26:0f:d2:ef:9e:a1:61:3d:38:
                    18:bf
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            ...
    Signature Algorithm: sha256WithRSAEncryption
         58:24:57:36:a4:66:fa:16:e1:82:b1:ee:a7:1a:77:db:77:6c:
         0a:b7:2e:7a:11:ca:0b:38:21:d2:d2:ab:3c:30:82:3f:ae:22:
         ...
         ad:26:5c:57:bb:83:e4:25:ae:fa:3a:d7:43:8e:a5:80:96:a9:
         0d:bd:56:41

Copia el archivo del certificado en la ubicación que elijas.

Luego, cuando necesites proporcionar un valor para caCertPath en un archivo de configuración, ingresa la ruta de acceso del archivo del certificado.

Por ejemplo, en el archivo de configuración de la estación de trabajo de administrador, haz lo siguiente:

gcp:
  ...
vCenter:
  ...
  caCertPath: "/path/to/vcenter-ca-cert.pem"