vCenter-CA-Root-Zertifikat abrufen

In diesem Dokument wird gezeigt, wie Sie das Root-Zertifikat für Ihren vCenter-Server abrufen.

Wenn ein Client wie Google Distributed Cloud eine Anfrage an Ihren vCenter-Server sendet, muss der Server seine Identität gegenüber dem Client durch Vorlage eines Zertifikats oder eines Zertifikatpakets nachweisen. Zum Prüfen des Zertifikats oder Pakets muss GKE on VMware das Root-Zertifikat in der Vertrauenskette haben.

Wenn Sie eine Konfigurationsdatei für die Administrator-Workstation ausfüllen, geben Sie den Pfad des Stammzertifikats im Feld vCenter.caCertPath an.

Ihre VM-Installation hat eine Zertifizierungsstelle (Certificate Authority, CA), die ein Zertifikat für Ihren vCenter-Server ausstellt. Das Root-Zertifikat in der Vertrauenskette ist ein selbst signiertes Zertifikat, das von VMware erstellt wurde.

Wenn Sie nicht die VMware-Standardzertifizierungsstelle verwenden möchten, können Sie VMware so konfigurieren, dass eine andere Zertifizierungsstelle genutzt wird.

Wenn Ihr vCenter-Server ein von der VMware-Standardzertifizierungsstelle ausgestelltes Zertifikat verwendet, laden Sie es so herunter:

curl -k "https://[SERVER_ADDRESS]/certs/download.zip" > download.zip

Ersetzen Sie [SERVER_ADDRESS] durch die Adresse Ihres vCenter-Servers.

Installieren Sie den Befehl unzip und entpacken Sie die Zertifikatsdatei:

sudo apt-get install unzip
unzip download.zip

Wenn der Befehl zum Entpacken beim ersten Mal nicht funktioniert, geben Sie ihn noch einmal ein.

In certs/lin finden Sie die Zertifikatsdatei und eine Widerrufsdatei. Beispiel:

457a65e8.0
457a65e8.r0

Im vorherigen Beispiel ist 457a65e8.0 die Zertifikatsdatei und 457a65e8.r0 die Widerrufsdatei.

Sie können die Zertifikatsdatei beliebig benennen. Die Dateiendung kann .pem sein, aber nicht .pem.

Angenommen, Sie benennen die Zertifikatsdatei in vcenter-ca-cert.pem um.

Sehen Sie sich den Inhalt von vcenter-ca-cert.pem an:

cat vcenter-ca-cert.pem

Die Ausgabe zeigt das base64-codierte Zertifikat. Beispiel:

-----BEGIN CERTIFICATE-----
MIIEGTCCAwGgAwIBAgIJAPW1akYrS5L6MA0GCSqGSIb3DQEBCwUAMIGXMQswCQYD
VQQDDAJDQTEXMBUGCgmSJomT8ixkARkWB3ZzcGhlcmUxFTATBgoJkiaJk/IsZAEZ
FgVsb2NhbDELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3JuaWExGTAXBgNV
...
0AaWpaT9QCTS31tbBgBYB1W+IS4qeMK5dz5Tko5460GgbSNLuz5Ml+spW745RbGA
76ePS+sXL0WYqZa1iyAb3x8E3xn5cVGtJlxXu4PkJa76OtdDjqWAlqkNvVZB
-----END CERTIFICATE-----

Rufen Sie das decodierte Zertifikat auf:

openssl x509 -in vcenter-ca-cert.pem -text -noout

Die Ausgabe zeigt das decodierte Zertifikat. Beispiel:

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            f5:b5:6a:46:2b:4b:92:fa
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering
        Validity
            ...
        Subject: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)
                Modulus:
                    00:e0:39:28:9d:c1:f5:ac:69:04:3f:b0:a0:31:9e:
                    89:0b:6e:f7:1e:2b:3b:94:ac:1c:47:f0:52:2e:fa:
                    6d:52:2c:de:66:3e:4e:40:6a:58:c7:cc:99:46:81:
                    ...
                    5c:d6:a9:ab:a9:87:26:0f:d2:ef:9e:a1:61:3d:38:
                    18:bf
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            ...
    Signature Algorithm: sha256WithRSAEncryption
         58:24:57:36:a4:66:fa:16:e1:82:b1:ee:a7:1a:77:db:77:6c:
         0a:b7:2e:7a:11:ca:0b:38:21:d2:d2:ab:3c:30:82:3f:ae:22:
         ...
         ad:26:5c:57:bb:83:e4:25:ae:fa:3a:d7:43:8e:a5:80:96:a9:
         0d:bd:56:41

Kopieren Sie die Zertifikatsdatei an einen Speicherort Ihrer Wahl.

Wenn Sie dann in einer Konfigurationsdatei einen Wert für caCertPath angeben müssen, geben Sie den Pfad Ihrer Zertifikatsdatei ein.

In der Konfigurationsdatei für die Administrator-Workstation könnte das so aussehen:

gcp:
  ...
vCenter:
  ...
  caCertPath: "/path/to/vcenter-ca-cert.pem"