Ottenere il certificato CA radice di vCenter

Questo documento mostra come ottenere il certificato radice per il server vCenter. Questa pagina è rivolta agli amministratori IT e agli operatori che gestiscono il ciclo di vita dell'infrastruttura tecnologica di base. Per scoprire di più sui ruoli comuni e sulle attività di esempio a cui facciamo riferimento nei contenuti di Google Cloud, consulta Ruoli e attività comuni degli utenti di GKE Enterprise.

Quando un client, come Google Distributed Cloud, invia una richiesta al tuo vCenter, il server deve dimostrare la sua identità al client presentando un certificato o un pacchetto di certificati. Per verificare il certificato o il bundle, Google Distributed Cloud (solo software) per VMware deve avere il certificato radice nella catena di attendibilità.

Quando compili un file di configurazione della workstation amministrativa, fornisci il percorso del certificato radice nel campo vCenter.caCertPath.

L'installazione di VMware ha un'autorità di certificazione (CA) che emette un al server vCenter. Il certificato principale nella catena di attendibilità è un certificato autofirmato creato da VMware.

Se non vuoi utilizzare VMWare CA, che è l'impostazione predefinita, puoi configurare Da VMware a Utilizzare un'autorità di certificazione diversa.

Se il server vCenter utilizza un certificato emesso dalla CA VMware predefinita, scarica il certificato nel seguente modo:

curl -k "https://[SERVER_ADDRESS]/certs/download.zip" > download.zip

Sostituisci [SERVER_ADDRESS] con l'indirizzo del tuo server vCenter.

Installa il comando unzip e decomprimi il file del certificato:

sudo apt-get install unzip
unzip download.zip

Se il comando di decompressione non funziona la prima volta, inseriscilo di nuovo.

Trova il file del certificato e un file di revoca in certs/lin. Ad esempio:

457a65e8.0
457a65e8.r0

Nell'esempio precedente, 457a65e8.0 è il file del certificato e 457a65e8.r0 è il file di revoca.

Puoi rinominare il file del certificato con il nome che preferisci. Il file può essere .pem, ma non deve essere necessariamente .pem.

Ad esempio, supponi di rinominare il file del certificato in vcenter-ca-cert.pem.

Visualizza i contenuti di vcenter-ca-cert.pem:

cat vcenter-ca-cert.pem

L'output mostra il certificato con codifica Base64. Ad esempio:

-----BEGIN CERTIFICATE-----
MIIEGTCCAwGgAwIBAgIJAPW1akYrS5L6MA0GCSqGSIb3DQEBCwUAMIGXMQswCQYD
VQQDDAJDQTEXMBUGCgmSJomT8ixkARkWB3ZzcGhlcmUxFTATBgoJkiaJk/IsZAEZ
FgVsb2NhbDELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3JuaWExGTAXBgNV
...
0AaWpaT9QCTS31tbBgBYB1W+IS4qeMK5dz5Tko5460GgbSNLuz5Ml+spW745RbGA
76ePS+sXL0WYqZa1iyAb3x8E3xn5cVGtJlxXu4PkJa76OtdDjqWAlqkNvVZB
-----END CERTIFICATE-----

Visualizza il certificato decodificato:

openssl x509 -in vcenter-ca-cert.pem -text -noout

L'output mostra il certificato decodificato. Ad esempio:

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            f5:b5:6a:46:2b:4b:92:fa
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering
        Validity
            ...
        Subject: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)
                Modulus:
                    00:e0:39:28:9d:c1:f5:ac:69:04:3f:b0:a0:31:9e:
                    89:0b:6e:f7:1e:2b:3b:94:ac:1c:47:f0:52:2e:fa:
                    6d:52:2c:de:66:3e:4e:40:6a:58:c7:cc:99:46:81:
                    ...
                    5c:d6:a9:ab:a9:87:26:0f:d2:ef:9e:a1:61:3d:38:
                    18:bf
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            ...
    Signature Algorithm: sha256WithRSAEncryption
         58:24:57:36:a4:66:fa:16:e1:82:b1:ee:a7:1a:77:db:77:6c:
         0a:b7:2e:7a:11:ca:0b:38:21:d2:d2:ab:3c:30:82:3f:ae:22:
         ...
         ad:26:5c:57:bb:83:e4:25:ae:fa:3a:d7:43:8e:a5:80:96:a9:
         0d:bd:56:41

Copia il file del certificato in una posizione a tua scelta.

Quando devi fornire un valore per caCertPath in un file di configurazione, inserisci il percorso del file del certificato.

Ad esempio, nel file di configurazione della workstation di amministrazione:

gcp:
  ...
vCenter:
  ...
  caCertPath: "/path/to/vcenter-ca-cert.pem"