Questo documento mostra come ottenere il certificato radice per il server vCenter. Questa pagina è rivolta agli amministratori IT e agli operatori che gestiscono il ciclo di vita dell'infrastruttura tecnologica di base. Per scoprire di più sui ruoli comuni e sulle attività di esempio a cui facciamo riferimento nei contenuti di Google Cloud , consulta Ruoli e attività comuni per gli utenti di GKE Enterprise.
Quando un client, come Google Distributed Cloud, invia una richiesta al tuo server vCenter, il server deve dimostrare la sua identità al client presentando un certificato o un bundle di certificati. Per verificare il certificato o il bundle, Google Distributed Cloud (solo software) per VMware deve avere il certificato radice nella catena di attendibilità.
Quando compili un
file di configurazione della workstation amministrativa,
fornisci il percorso del certificato radice nel campo vCenter.caCertPath
.
L'installazione VMware dispone di un'autorità di certificazione (CA) che emette un certificato per il server vCenter. Il certificato principale nella catena di attendibilità è un certificato autofirmato creato da VMware.
Se non vuoi utilizzare l'autorità di certificazione VMWare, che è quella predefinita, puoi configurare VMWare in modo da utilizzare un'altra autorità di certificazione.
Se il server vCenter utilizza un certificato emesso dall'autorità di certificazione VMware predefinita, scarica il certificato come segue:
curl -k "https://[SERVER_ADDRESS]/certs/download.zip" > download.zip
Sostituisci [SERVER_ADDRESS] con l'indirizzo del tuo server vCenter.
Installa il comando unzip
ed espandi il file del certificato:
sudo apt-get install unzip unzip download.zip
Se il comando unzip non funziona la prima volta, inseriscilo di nuovo.
Trova il file del certificato e un file di revoca in certs/lin
. Ad esempio:
457a65e8.0 457a65e8.r0
Nell'esempio precedente, 457a65e8.0
è il file del certificato e
457a65e8.r0
è il file di revoca.
Puoi rinominare il file del certificato con un nome a tua scelta. L'estensione del file può essere .pem
, ma non deve essere necessariamente .pem
.
Ad esempio, supponiamo di rinominare il file del certificato in vcenter-ca-cert.pem
.
Visualizza i contenuti di vcenter-ca-cert.pem
:
cat vcenter-ca-cert.pem
L'output mostra il certificato con codifica Base64. Ad esempio:
-----BEGIN CERTIFICATE----- MIIEGTCCAwGgAwIBAgIJAPW1akYrS5L6MA0GCSqGSIb3DQEBCwUAMIGXMQswCQYD VQQDDAJDQTEXMBUGCgmSJomT8ixkARkWB3ZzcGhlcmUxFTATBgoJkiaJk/IsZAEZ FgVsb2NhbDELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3JuaWExGTAXBgNV ... 0AaWpaT9QCTS31tbBgBYB1W+IS4qeMK5dz5Tko5460GgbSNLuz5Ml+spW745RbGA 76ePS+sXL0WYqZa1iyAb3x8E3xn5cVGtJlxXu4PkJa76OtdDjqWAlqkNvVZB -----END CERTIFICATE-----
Visualizza il certificato decodificato:
openssl x509 -in vcenter-ca-cert.pem -text -noout
L'output mostra il certificato decodificato. Ad esempio:
Certificate: Data: Version: 3 (0x2) Serial Number: f5:b5:6a:46:2b:4b:92:fa Signature Algorithm: sha256WithRSAEncryption Issuer: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering Validity ... Subject: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public-Key: (2048 bit) Modulus: 00:e0:39:28:9d:c1:f5:ac:69:04:3f:b0:a0:31:9e: 89:0b:6e:f7:1e:2b:3b:94:ac:1c:47:f0:52:2e:fa: 6d:52:2c:de:66:3e:4e:40:6a:58:c7:cc:99:46:81: ... 5c:d6:a9:ab:a9:87:26:0f:d2:ef:9e:a1:61:3d:38: 18:bf Exponent: 65537 (0x10001) X509v3 extensions: ... Signature Algorithm: sha256WithRSAEncryption 58:24:57:36:a4:66:fa:16:e1:82:b1:ee:a7:1a:77:db:77:6c: 0a:b7:2e:7a:11:ca:0b:38:21:d2:d2:ab:3c:30:82:3f:ae:22: ... ad:26:5c:57:bb:83:e4:25:ae:fa:3a:d7:43:8e:a5:80:96:a9: 0d:bd:56:41
Copia il file del certificato in una posizione a tua scelta.
Quando devi fornire un valore per caCertPath
in un file di configurazione, inserisci il percorso del file del certificato.
Ad esempio, nel file di configurazione della workstation di amministrazione:
gcp: ... vCenter: ... caCertPath: "/path/to/vcenter-ca-cert.pem"