获取 vCenter CA 根证书

本文档介绍如何获取 vCenter 服务器的根证书。

当客户端(如 Google Distributed Cloud)向您的 vCenter 服务器发送请求时,服务器必须通过提供证书或证书包来向客户端证明其身份。为了验证证书或证书集合,GKE on VMware 必须具有信任链中的根证书。

填写管理员工作站配置文件时,您需要在 vCenter.caCertPath 字段中提供根证书的路径。

VMware 安装的证书授权机构 (CA) 会向您的 vCenter 服务器颁发证书。信任链中的根证书是由 VMware 创建的自签名证书。

如果您不想使用默认的 VMWare CA,则可以将 VMware 配置为使用其他证书授权机构

如果您的 vCenter 服务器使用默认 VMware CA 颁发的证书,请按如下方式下载该证书:

curl -k "https://[SERVER_ADDRESS]/certs/download.zip" > download.zip

[SERVER_ADDRESS] 替换为您的 vCenter 服务器的地址。

安装 unzip 命令并解压缩证书文件:

sudo apt-get install unzip
unzip download.zip

如果首次解压缩命令无效,请再次输入该命令。

certs/lin 中找到证书文件和撤消文件。例如:

457a65e8.0
457a65e8.r0

在上面的示例中,457a65e8.0 是证书文件,457a65e8.r0 是撤消文件。

您可以将证书文件重命名为您选择的任意名称。文件扩展名可以是 .pem,但不必是 .pem

例如,假设您将证书文件重命名为 vcenter-ca-cert.pem

查看 vcenter-ca-cert.pem 的内容:

cat vcenter-ca-cert.pem

输出会显示 base64 编码的证书。例如:

-----BEGIN CERTIFICATE-----
MIIEGTCCAwGgAwIBAgIJAPW1akYrS5L6MA0GCSqGSIb3DQEBCwUAMIGXMQswCQYD
VQQDDAJDQTEXMBUGCgmSJomT8ixkARkWB3ZzcGhlcmUxFTATBgoJkiaJk/IsZAEZ
FgVsb2NhbDELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3JuaWExGTAXBgNV
...
0AaWpaT9QCTS31tbBgBYB1W+IS4qeMK5dz5Tko5460GgbSNLuz5Ml+spW745RbGA
76ePS+sXL0WYqZa1iyAb3x8E3xn5cVGtJlxXu4PkJa76OtdDjqWAlqkNvVZB
-----END CERTIFICATE-----

查看已解码的证书:

openssl x509 -in vcenter-ca-cert.pem -text -noout

输出会显示已解码的证书。例如:

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            f5:b5:6a:46:2b:4b:92:fa
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering
        Validity
            ...
        Subject: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)
                Modulus:
                    00:e0:39:28:9d:c1:f5:ac:69:04:3f:b0:a0:31:9e:
                    89:0b:6e:f7:1e:2b:3b:94:ac:1c:47:f0:52:2e:fa:
                    6d:52:2c:de:66:3e:4e:40:6a:58:c7:cc:99:46:81:
                    ...
                    5c:d6:a9:ab:a9:87:26:0f:d2:ef:9e:a1:61:3d:38:
                    18:bf
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            ...
    Signature Algorithm: sha256WithRSAEncryption
         58:24:57:36:a4:66:fa:16:e1:82:b1:ee:a7:1a:77:db:77:6c:
         0a:b7:2e:7a:11:ca:0b:38:21:d2:d2:ab:3c:30:82:3f:ae:22:
         ...
         ad:26:5c:57:bb:83:e4:25:ae:fa:3a:d7:43:8e:a5:80:96:a9:
         0d:bd:56:41

将您的证书文件复制到您选择的位置。

然后,在配置文件中提供 caCertPath 的值时,请输入证书文件的路径。

例如,在管理员工作站配置文件中:

gcp:
  ...
vCenter:
  ...
  caCertPath: "/path/to/vcenter-ca-cert.pem"