Ce document explique comment obtenir le certificat racine de votre serveur vCenter. Cette page est destinée aux administrateurs et opérateurs informatiques qui gèrent le cycle de vie de l'infrastructure technologique sous-jacente. Pour en savoir plus sur les rôles courants et les exemples de tâches que nous citons dans le contenu Google Cloud, consultez la section Rôles utilisateur et tâches courantes de l'utilisateur dans GKE Enterprise.
Lorsqu'un client, tel que Google Distributed Cloud, envoie une requête à votre serveur vCenter, celui-ci doit prouver son identité au client en présentant un certificat ou un groupe de certificats. Pour valider le certificat ou le groupe, le certificat racine doit se trouver dans la chaîne de confiance de Google Distributed Cloud (logiciel uniquement) pour VMware.
Lorsque vous remplissez un fichier de configuration de poste de travail administrateur, vous indiquez le chemin d'accès du certificat racine dans le champ vCenter.caCertPath
.
Votre installation VMware inclut une autorité de certification qui émet un certificat pour votre serveur vCenter. Le certificat racine de la chaîne de confiance est un certificat autosigné créé par VMware.
Si vous ne souhaitez pas utiliser l'autorité de certification VMWare, qui est définie par défaut, vous pouvez configurer VMware de sorte à utiliser une autre autorité de certification.
Si votre serveur vCenter utilise un certificat émis par l'autorité de certification VMware par défaut, téléchargez-le comme suit :
curl -k "https://[SERVER_ADDRESS]/certs/download.zip" > download.zip
Remplacez [SERVER_ADDRESS] par l'adresse de votre serveur vCenter.
Installez la commande unzip
et décompressez le fichier de certificat :
sudo apt-get install unzip unzip download.zip
Si la commande de décompression ne fonctionne pas au premier essai, saisissez-la à nouveau.
Recherchez le fichier de certificat et un fichier de révocation dans certs/lin
. Exemple :
457a65e8.0 457a65e8.r0
Dans l'exemple ci-dessus, 457a65e8.0
correspond au fichier de certificat et 457a65e8.r0
au fichier de révocation.
Vous pouvez renommer le fichier de certificat comme vous le souhaitez. L'extension du fichier peut être .pem
, mais ce n'est pas nécessairement le cas de .pem
.
Par exemple, supposons que vous renommez le fichier de certificat en vcenter-ca-cert.pem
.
Affichez le contenu de vcenter-ca-cert.pem
:
cat vcenter-ca-cert.pem
Le résultat affiche le certificat encodé en base64. Exemple :
-----BEGIN CERTIFICATE----- MIIEGTCCAwGgAwIBAgIJAPW1akYrS5L6MA0GCSqGSIb3DQEBCwUAMIGXMQswCQYD VQQDDAJDQTEXMBUGCgmSJomT8ixkARkWB3ZzcGhlcmUxFTATBgoJkiaJk/IsZAEZ FgVsb2NhbDELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3JuaWExGTAXBgNV ... 0AaWpaT9QCTS31tbBgBYB1W+IS4qeMK5dz5Tko5460GgbSNLuz5Ml+spW745RbGA 76ePS+sXL0WYqZa1iyAb3x8E3xn5cVGtJlxXu4PkJa76OtdDjqWAlqkNvVZB -----END CERTIFICATE-----
Affichez le certificat décodé :
openssl x509 -in vcenter-ca-cert.pem -text -noout
La sortie affiche le certificat décodé. Par exemple :
Certificate: Data: Version: 3 (0x2) Serial Number: f5:b5:6a:46:2b:4b:92:fa Signature Algorithm: sha256WithRSAEncryption Issuer: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering Validity ... Subject: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public-Key: (2048 bit) Modulus: 00:e0:39:28:9d:c1:f5:ac:69:04:3f:b0:a0:31:9e: 89:0b:6e:f7:1e:2b:3b:94:ac:1c:47:f0:52:2e:fa: 6d:52:2c:de:66:3e:4e:40:6a:58:c7:cc:99:46:81: ... 5c:d6:a9:ab:a9:87:26:0f:d2:ef:9e:a1:61:3d:38: 18:bf Exponent: 65537 (0x10001) X509v3 extensions: ... Signature Algorithm: sha256WithRSAEncryption 58:24:57:36:a4:66:fa:16:e1:82:b1:ee:a7:1a:77:db:77:6c: 0a:b7:2e:7a:11:ca:0b:38:21:d2:d2:ab:3c:30:82:3f:ae:22: ... ad:26:5c:57:bb:83:e4:25:ae:fa:3a:d7:43:8e:a5:80:96:a9: 0d:bd:56:41
Copiez le fichier de certificat à l'emplacement de votre choix.
Lorsque vous devez fournir une valeur pour caCertPath
dans un fichier de configuration, saisissez le chemin d'accès de votre fichier de certificat.
Par exemple, dans le fichier de configuration de votre poste de travail administrateur :
gcp: ... vCenter: ... caCertPath: "/path/to/vcenter-ca-cert.pem"