In diesem Dokument wird gezeigt, wie Sie das Root-Zertifikat für Ihren vCenter-Server abrufen.
Wenn ein Client wie Google Distributed Cloud eine Anfrage an Ihren vCenter-Server schickt, muss der Server seine Identität gegenüber dem Client nachweisen, indem er ein Zertifikat oder ein Zertifikatspaket einblendet. Zum Bestätigen des Zertifikats oder Pakets muss Google Distributed Cloud (nur Software) für VMware das Root-Zertifikat in der Vertrauenskette haben.
Wenn Sie eine Konfigurationsdatei für die Administrator-Workstation ausfüllen, geben Sie den Pfad des Stammzertifikats im Feld vCenter.caCertPath
an.
Ihre VM-Installation hat eine Zertifizierungsstelle (Certificate Authority, CA), die ein Zertifikat für Ihren vCenter-Server ausstellt. Das Root-Zertifikat in der Vertrauenskette ist ein selbst signiertes Zertifikat, das von VMware erstellt wurde.
Wenn Sie nicht die VMware-Standardzertifizierungsstelle verwenden möchten, können Sie VMware so konfigurieren, dass eine andere Zertifizierungsstelle genutzt wird.
Wenn Ihr vCenter-Server ein von der VMware-Standardzertifizierungsstelle ausgestelltes Zertifikat verwendet, laden Sie es so herunter:
curl -k "https://[SERVER_ADDRESS]/certs/download.zip" > download.zip
Ersetzen Sie [SERVER_ADDRESS] durch die Adresse Ihres vCenter-Servers.
Installieren Sie den Befehl unzip
und entpacken Sie die Zertifikatsdatei:
sudo apt-get install unzip unzip download.zip
Wenn der Befehl zum Entpacken beim ersten Mal nicht funktioniert, geben Sie ihn noch einmal ein.
In certs/lin
finden Sie die Zertifikatsdatei und eine Widerrufsdatei. Beispiel:
457a65e8.0 457a65e8.r0
Im vorherigen Beispiel ist 457a65e8.0
die Zertifikatsdatei und 457a65e8.r0
die Widerrufsdatei.
Sie können die Zertifikatsdatei beliebig benennen. Die Dateiendung kann .pem
sein, aber nicht .pem
.
Angenommen, Sie benennen die Zertifikatsdatei in vcenter-ca-cert.pem
um.
Sehen Sie sich den Inhalt von vcenter-ca-cert.pem
an:
cat vcenter-ca-cert.pem
Die Ausgabe zeigt das base64-codierte Zertifikat. Beispiel:
-----BEGIN CERTIFICATE----- MIIEGTCCAwGgAwIBAgIJAPW1akYrS5L6MA0GCSqGSIb3DQEBCwUAMIGXMQswCQYD VQQDDAJDQTEXMBUGCgmSJomT8ixkARkWB3ZzcGhlcmUxFTATBgoJkiaJk/IsZAEZ FgVsb2NhbDELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3JuaWExGTAXBgNV ... 0AaWpaT9QCTS31tbBgBYB1W+IS4qeMK5dz5Tko5460GgbSNLuz5Ml+spW745RbGA 76ePS+sXL0WYqZa1iyAb3x8E3xn5cVGtJlxXu4PkJa76OtdDjqWAlqkNvVZB -----END CERTIFICATE-----
Rufen Sie das decodierte Zertifikat auf:
openssl x509 -in vcenter-ca-cert.pem -text -noout
Die Ausgabe zeigt das decodierte Zertifikat. Beispiel:
Certificate: Data: Version: 3 (0x2) Serial Number: f5:b5:6a:46:2b:4b:92:fa Signature Algorithm: sha256WithRSAEncryption Issuer: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering Validity ... Subject: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public-Key: (2048 bit) Modulus: 00:e0:39:28:9d:c1:f5:ac:69:04:3f:b0:a0:31:9e: 89:0b:6e:f7:1e:2b:3b:94:ac:1c:47:f0:52:2e:fa: 6d:52:2c:de:66:3e:4e:40:6a:58:c7:cc:99:46:81: ... 5c:d6:a9:ab:a9:87:26:0f:d2:ef:9e:a1:61:3d:38: 18:bf Exponent: 65537 (0x10001) X509v3 extensions: ... Signature Algorithm: sha256WithRSAEncryption 58:24:57:36:a4:66:fa:16:e1:82:b1:ee:a7:1a:77:db:77:6c: 0a:b7:2e:7a:11:ca:0b:38:21:d2:d2:ab:3c:30:82:3f:ae:22: ... ad:26:5c:57:bb:83:e4:25:ae:fa:3a:d7:43:8e:a5:80:96:a9: 0d:bd:56:41
Kopieren Sie die Zertifikatsdatei an einen Speicherort Ihrer Wahl.
Wenn Sie dann in einer Konfigurationsdatei einen Wert für caCertPath
angeben müssen, geben Sie den Pfad Ihrer Zertifikatsdatei ein.
In der Konfigurationsdatei für die Administrator-Workstation könnte das so aussehen:
gcp: ... vCenter: ... caCertPath: "/path/to/vcenter-ca-cert.pem"