Obtenir votre certificat racine vCenter CA

Ce document explique comment obtenir le certificat racine de votre serveur vCenter.

Lorsqu'un client, tel que Google Distributed Cloud, envoie une requête à votre serveur vCenter, celui-ci doit prouver son identité au client en présentant un certificat ou un groupe de certificats. Pour valider le certificat ou le groupe, GKE sur VMware doit disposer du certificat racine dans la chaîne de confiance.

Lorsque vous remplissez un fichier de configuration de poste de travail administrateur, vous indiquez le chemin d'accès du certificat racine dans le champ vCenter.caCertPath.

Votre installation VMware inclut une autorité de certification qui émet un certificat pour votre serveur vCenter. Le certificat racine de la chaîne de confiance est un certificat autosigné créé par VMware.

Si vous ne souhaitez pas utiliser l'autorité de certification VMWare, qui est définie par défaut, vous pouvez configurer VMware de sorte à utiliser une autre autorité de certification.

Si votre serveur vCenter utilise un certificat émis par l'autorité de certification VMware par défaut, téléchargez-le comme suit :

curl -k "https://[SERVER_ADDRESS]/certs/download.zip" > download.zip

Remplacez [SERVER_ADDRESS] par l'adresse de votre serveur vCenter.

Installez la commande unzip et décompressez le fichier de certificat :

sudo apt-get install unzip
unzip download.zip

Si la commande de décompression ne fonctionne pas au premier essai, saisissez-la à nouveau.

Recherchez le fichier de certificat et un fichier de révocation dans certs/lin. Exemple :

457a65e8.0
457a65e8.r0

Dans l'exemple ci-dessus, 457a65e8.0 correspond au fichier de certificat et 457a65e8.r0 au fichier de révocation.

Vous pouvez renommer le fichier de certificat comme vous le souhaitez. L'extension du fichier peut être .pem, mais ce n'est pas nécessairement le cas de .pem.

Par exemple, supposons que vous renommez le fichier de certificat en vcenter-ca-cert.pem.

Affichez le contenu de vcenter-ca-cert.pem :

cat vcenter-ca-cert.pem

Le résultat affiche le certificat encodé en base64. Exemple :

-----BEGIN CERTIFICATE-----
MIIEGTCCAwGgAwIBAgIJAPW1akYrS5L6MA0GCSqGSIb3DQEBCwUAMIGXMQswCQYD
VQQDDAJDQTEXMBUGCgmSJomT8ixkARkWB3ZzcGhlcmUxFTATBgoJkiaJk/IsZAEZ
FgVsb2NhbDELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3JuaWExGTAXBgNV
...
0AaWpaT9QCTS31tbBgBYB1W+IS4qeMK5dz5Tko5460GgbSNLuz5Ml+spW745RbGA
76ePS+sXL0WYqZa1iyAb3x8E3xn5cVGtJlxXu4PkJa76OtdDjqWAlqkNvVZB
-----END CERTIFICATE-----

Affichez le certificat décodé :

openssl x509 -in vcenter-ca-cert.pem -text -noout

La sortie affiche le certificat décodé. Par exemple :

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            f5:b5:6a:46:2b:4b:92:fa
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering
        Validity
            ...
        Subject: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)
                Modulus:
                    00:e0:39:28:9d:c1:f5:ac:69:04:3f:b0:a0:31:9e:
                    89:0b:6e:f7:1e:2b:3b:94:ac:1c:47:f0:52:2e:fa:
                    6d:52:2c:de:66:3e:4e:40:6a:58:c7:cc:99:46:81:
                    ...
                    5c:d6:a9:ab:a9:87:26:0f:d2:ef:9e:a1:61:3d:38:
                    18:bf
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            ...
    Signature Algorithm: sha256WithRSAEncryption
         58:24:57:36:a4:66:fa:16:e1:82:b1:ee:a7:1a:77:db:77:6c:
         0a:b7:2e:7a:11:ca:0b:38:21:d2:d2:ab:3c:30:82:3f:ae:22:
         ...
         ad:26:5c:57:bb:83:e4:25:ae:fa:3a:d7:43:8e:a5:80:96:a9:
         0d:bd:56:41

Copiez le fichier de certificat à l'emplacement de votre choix.

Lorsque vous devez fournir une valeur pour caCertPath dans un fichier de configuration, saisissez le chemin d'accès de votre fichier de certificat.

Par exemple, dans le fichier de configuration de votre poste de travail administrateur :

gcp:
  ...
vCenter:
  ...
  caCertPath: "/path/to/vcenter-ca-cert.pem"