Questo documento mostra come ottenere il certificato radice per il server vCenter.
Quando un client, come GKE su VMware, invia una richiesta al tuo server vCenter, il server deve dimostrare la sua identità al client presentando un certificato o un bundle di certificati. Per verificare il certificato o il bundle, GKE su VMware deve avere il certificato radice nella catena di attendibilità.
Quando compili un file di configurazione della workstation di amministrazione, fornisci il percorso del certificato radice nel campo vCenter.caCertPath.
La tua installazione VMware ha un'autorità di certificazione (CA) che rilascia un certificato al tuo server vCenter. Il certificato radice nella catena di attendibilità è un certificato autofirmato creato da VMware.
Se non vuoi utilizzare la CA VMWare, che è l'impostazione predefinita, puoi configurare VMware per utilizzare un'autorità di certificazione diversa.
Se il server vCenter utilizza un certificato emesso dalla CA VMware predefinita, scaricalo come segue:
curl -k "https://[SERVER_ADDRESS]/certs/download.zip" > download.zip
Sostituisci [SERVER_ADDRESS] con l'indirizzo del tuo server vCenter.
Installa il comando unzip e decomprimi il file del certificato:
sudo apt-get install unzip unzip download.zip
Se il comando di decompressione non funziona la prima volta, inseriscilo di nuovo.
Trova il file del certificato e un file di revoca in certs/lin. Ad esempio:
457a65e8.0 457a65e8.r0
Nell'esempio precedente, 457a65e8.0 è il file del certificato e 457a65e8.r0 è il file della revoca.
Puoi rinominare il file del certificato con un nome a tua scelta. L'estensione
del file può essere .pem, ma non deve essere .pem.
Ad esempio, supponi di rinominare il file del certificato in vcenter-ca-cert.pem.
Visualizza i contenuti di vcenter-ca-cert.pem:
cat vcenter-ca-cert.pem
L'output mostra il certificato con codifica Base64. Ad esempio:
-----BEGIN CERTIFICATE----- MIIEGTCCAwGgAwIBAgIJAPW1akYrS5L6MA0GCSqGSIb3DQEBCwUAMIGXMQswCQYD VQQDDAJDQTEXMBUGCgmSJomT8ixkARkWB3ZzcGhlcmUxFTATBgoJkiaJk/IsZAEZ FgVsb2NhbDELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3JuaWExGTAXBgNV ... 0AaWpaT9QCTS31tbBgBYB1W+IS4qeMK5dz5Tko5460GgbSNLuz5Ml+spW745RbGA 76ePS+sXL0WYqZa1iyAb3x8E3xn5cVGtJlxXu4PkJa76OtdDjqWAlqkNvVZB -----END CERTIFICATE-----
Visualizza il certificato decodificato:
openssl x509 -in vcenter-ca-cert.pem -text -noout
L'output mostra il certificato decodificato. Ad esempio:
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
f5:b5:6a:46:2b:4b:92:fa
Signature Algorithm: sha256WithRSAEncryption
Issuer: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering
Validity
...
Subject: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public-Key: (2048 bit)
Modulus:
00:e0:39:28:9d:c1:f5:ac:69:04:3f:b0:a0:31:9e:
89:0b:6e:f7:1e:2b:3b:94:ac:1c:47:f0:52:2e:fa:
6d:52:2c:de:66:3e:4e:40:6a:58:c7:cc:99:46:81:
...
5c:d6:a9:ab:a9:87:26:0f:d2:ef:9e:a1:61:3d:38:
18:bf
Exponent: 65537 (0x10001)
X509v3 extensions:
...
Signature Algorithm: sha256WithRSAEncryption
58:24:57:36:a4:66:fa:16:e1:82:b1:ee:a7:1a:77:db:77:6c:
0a:b7:2e:7a:11:ca:0b:38:21:d2:d2:ab:3c:30:82:3f:ae:22:
...
ad:26:5c:57:bb:83:e4:25:ae:fa:3a:d7:43:8e:a5:80:96:a9:
0d:bd:56:41
Copia il file del certificato in un percorso a tua scelta.
Poi, quando devi fornire un valore per caCertPath in un file di configurazione, inserisci il percorso del file del certificato.
Ad esempio, nel file di configurazione della workstation di amministrazione:
gcp: ... vCenter: ... caCertPath: "/path/to/vcenter-ca-cert.pem"