In diesem Dokument wird gezeigt, wie Sie das Root-Zertifikat für Ihren vCenter-Server abrufen.
Wenn ein Client wie GKE on VMware eine Anfrage an Ihren vCenter-Server sendet, muss der Server seine Identität gegenüber dem Client durch Vorlage eines Zertifikats oder eines Zertifikatspakets nachweisen. Zum Prüfen des Zertifikats oder Pakets muss GKE on VMware das Root-Zertifikat in der Vertrauenskette haben.
Wenn Sie eine Konfigurationsdatei für die Administrator-Workstation ausfüllen, geben Sie den Pfad des Stammzertifikats im Feld vCenter.caCertPath an.
Ihre VM-Installation hat eine Zertifizierungsstelle (Certificate Authority, CA), die ein Zertifikat für Ihren vCenter-Server ausstellt. Das Root-Zertifikat in der Vertrauenskette ist ein selbst signiertes Zertifikat, das von VMware erstellt wurde.
Wenn Sie nicht die VMware-Standardzertifizierungsstelle verwenden möchten, können Sie VMware so konfigurieren, dass eine andere Zertifizierungsstelle genutzt wird.
Wenn Ihr vCenter-Server ein von der VMware-Standardzertifizierungsstelle ausgestelltes Zertifikat verwendet, laden Sie es so herunter:
curl -k "https://[SERVER_ADDRESS]/certs/download.zip" > download.zip
Ersetzen Sie [SERVER_ADDRESS] durch die Adresse Ihres vCenter-Servers.
Installieren Sie den Befehl unzip und entpacken Sie die Zertifikatsdatei:
sudo apt-get install unzip unzip download.zip
Wenn der Befehl zum Entpacken beim ersten Mal nicht funktioniert, geben Sie ihn noch einmal ein.
In certs/lin finden Sie die Zertifikatsdatei und eine Widerrufsdatei. Beispiel:
457a65e8.0 457a65e8.r0
Im vorherigen Beispiel ist 457a65e8.0 die Zertifikatsdatei und 457a65e8.r0 die Widerrufsdatei.
Sie können die Zertifikatsdatei beliebig benennen. Die Dateiendung kann .pem sein, aber nicht .pem.
Angenommen, Sie benennen die Zertifikatsdatei in vcenter-ca-cert.pem um.
Sehen Sie sich den Inhalt von vcenter-ca-cert.pem an:
cat vcenter-ca-cert.pem
Die Ausgabe zeigt das base64-codierte Zertifikat. Beispiel:
-----BEGIN CERTIFICATE----- MIIEGTCCAwGgAwIBAgIJAPW1akYrS5L6MA0GCSqGSIb3DQEBCwUAMIGXMQswCQYD VQQDDAJDQTEXMBUGCgmSJomT8ixkARkWB3ZzcGhlcmUxFTATBgoJkiaJk/IsZAEZ FgVsb2NhbDELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3JuaWExGTAXBgNV ... 0AaWpaT9QCTS31tbBgBYB1W+IS4qeMK5dz5Tko5460GgbSNLuz5Ml+spW745RbGA 76ePS+sXL0WYqZa1iyAb3x8E3xn5cVGtJlxXu4PkJa76OtdDjqWAlqkNvVZB -----END CERTIFICATE-----
Rufen Sie das decodierte Zertifikat auf:
openssl x509 -in vcenter-ca-cert.pem -text -noout
Die Ausgabe zeigt das decodierte Zertifikat. Beispiel:
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
f5:b5:6a:46:2b:4b:92:fa
Signature Algorithm: sha256WithRSAEncryption
Issuer: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering
Validity
...
Subject: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public-Key: (2048 bit)
Modulus:
00:e0:39:28:9d:c1:f5:ac:69:04:3f:b0:a0:31:9e:
89:0b:6e:f7:1e:2b:3b:94:ac:1c:47:f0:52:2e:fa:
6d:52:2c:de:66:3e:4e:40:6a:58:c7:cc:99:46:81:
...
5c:d6:a9:ab:a9:87:26:0f:d2:ef:9e:a1:61:3d:38:
18:bf
Exponent: 65537 (0x10001)
X509v3 extensions:
...
Signature Algorithm: sha256WithRSAEncryption
58:24:57:36:a4:66:fa:16:e1:82:b1:ee:a7:1a:77:db:77:6c:
0a:b7:2e:7a:11:ca:0b:38:21:d2:d2:ab:3c:30:82:3f:ae:22:
...
ad:26:5c:57:bb:83:e4:25:ae:fa:3a:d7:43:8e:a5:80:96:a9:
0d:bd:56:41
Kopieren Sie die Zertifikatsdatei an einen Speicherort Ihrer Wahl.
Wenn Sie dann in einer Konfigurationsdatei einen Wert für caCertPath angeben müssen, geben Sie den Pfad Ihrer Zertifikatsdatei ein.
In der Konfigurationsdatei für die Administrator-Workstation könnte das so aussehen:
gcp: ... vCenter: ... caCertPath: "/path/to/vcenter-ca-cert.pem"