Recupero del certificato radice CA vCenter

Questo documento mostra come ottenere il certificato radice per il server vCenter.

Quando un client, come Google Distributed Cloud, invia una richiesta al tuo server vCenter, il server deve dimostrare la sua identità al client presentando un certificato o un bundle di certificati. Per verificare il certificato o il bundle, GKE on VMware deve avere il certificato radice nella catena di attendibilità.

Quando compili un file di configurazione della workstation di amministrazione, devi fornire il percorso del certificato radice nel campo vCenter.caCertPath.

L'installazione di VMware ha un'autorità di certificazione (CA) che emette un certificato al server vCenter. Il certificato radice nella catena di attendibilità è un certificato autofirmato creato da VMware.

Se non vuoi utilizzare VMWare CA, che è l'impostazione predefinita, puoi configurare VMware in modo che utilizzi un'autorità di certificazione diversa.

Se il server vCenter utilizza un certificato emesso dalla CA VMware predefinita, scaricalo come segue:

curl -k "https://[SERVER_ADDRESS]/certs/download.zip" > download.zip

Sostituisci [SERVER_ADDRESS] con l'indirizzo del tuo server vCenter.

Installa il comando unzip e decomprimi il file del certificato:

sudo apt-get install unzip
unzip download.zip

Se il comando di decompressione non funziona la prima volta, inseriscilo di nuovo.

Trova il file del certificato e un file di revoca in certs/lin. Ad esempio:

457a65e8.0
457a65e8.r0

Nell'esempio precedente, 457a65e8.0 è il file del certificato e 457a65e8.r0 è il file di revoca.

Puoi rinominare il file del certificato con un nome a tua scelta. L'estensione del file può essere .pem, ma non deve essere .pem.

Ad esempio, supponi di rinominare il file del certificato in vcenter-ca-cert.pem.

Visualizza i contenuti di vcenter-ca-cert.pem:

cat vcenter-ca-cert.pem

L'output mostra il certificato con codifica Base64. Ad esempio:

-----BEGIN CERTIFICATE-----
MIIEGTCCAwGgAwIBAgIJAPW1akYrS5L6MA0GCSqGSIb3DQEBCwUAMIGXMQswCQYD
VQQDDAJDQTEXMBUGCgmSJomT8ixkARkWB3ZzcGhlcmUxFTATBgoJkiaJk/IsZAEZ
FgVsb2NhbDELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3JuaWExGTAXBgNV
...
0AaWpaT9QCTS31tbBgBYB1W+IS4qeMK5dz5Tko5460GgbSNLuz5Ml+spW745RbGA
76ePS+sXL0WYqZa1iyAb3x8E3xn5cVGtJlxXu4PkJa76OtdDjqWAlqkNvVZB
-----END CERTIFICATE-----

Visualizza il certificato decodificato:

openssl x509 -in vcenter-ca-cert.pem -text -noout

L'output mostra il certificato decodificato. Ad esempio:

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            f5:b5:6a:46:2b:4b:92:fa
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering
        Validity
            ...
        Subject: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)
                Modulus:
                    00:e0:39:28:9d:c1:f5:ac:69:04:3f:b0:a0:31:9e:
                    89:0b:6e:f7:1e:2b:3b:94:ac:1c:47:f0:52:2e:fa:
                    6d:52:2c:de:66:3e:4e:40:6a:58:c7:cc:99:46:81:
                    ...
                    5c:d6:a9:ab:a9:87:26:0f:d2:ef:9e:a1:61:3d:38:
                    18:bf
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            ...
    Signature Algorithm: sha256WithRSAEncryption
         58:24:57:36:a4:66:fa:16:e1:82:b1:ee:a7:1a:77:db:77:6c:
         0a:b7:2e:7a:11:ca:0b:38:21:d2:d2:ab:3c:30:82:3f:ae:22:
         ...
         ad:26:5c:57:bb:83:e4:25:ae:fa:3a:d7:43:8e:a5:80:96:a9:
         0d:bd:56:41

Copia il file del certificato in un percorso a tua scelta.

Quando devi fornire un valore per caCertPath in un file di configurazione, inserisci il percorso del file del certificato.

Ad esempio, nel file di configurazione della workstation di amministrazione:

gcp:
  ...
vCenter:
  ...
  caCertPath: "/path/to/vcenter-ca-cert.pem"