本文档介绍如何获取 vCenter 服务器的根证书。 本页面适用于管理底层技术基础架构生命周期的 IT 管理员和运维人员。如需详细了解我们在 Google Cloud 内容中提及的常见角色和示例任务,请参阅常见的 GKE Enterprise 用户角色和任务。
当客户端(如 Google Distributed Cloud)向您的 vCenter 服务器发送请求时,服务器必须通过提供证书或证书软件包来向客户端证明其身份。为了验证证书或证书集合,Google Distributed Cloud for VMware(纯软件)必须具有信任链中的根证书。
填写管理员工作站配置文件时,您需要在 vCenter.caCertPath
字段中提供根证书的路径。
VMware 安装的证书授权机构 (CA) 会向您的 vCenter 服务器颁发证书。信任链中的根证书是由 VMware 创建的自签名证书。
如果您不想使用默认的 VMWare CA,则可以将 VMware 配置为使用其他证书授权机构。
如果您的 vCenter 服务器使用默认 VMware CA 颁发的证书,请按如下方式下载该证书:
curl -k "https://[SERVER_ADDRESS]/certs/download.zip" > download.zip
将 [SERVER_ADDRESS] 替换为您的 vCenter 服务器的地址。
安装 unzip
命令并解压缩证书文件:
sudo apt-get install unzip unzip download.zip
如果首次解压缩命令无效,请再次输入该命令。
在 certs/lin
中找到证书文件和撤消文件。例如:
457a65e8.0 457a65e8.r0
在上面的示例中,457a65e8.0
是证书文件,457a65e8.r0
是撤消文件。
您可以将证书文件重命名为您选择的任意名称。文件扩展名可以是 .pem
,但不必是 .pem
。
例如,假设您将证书文件重命名为 vcenter-ca-cert.pem
。
查看 vcenter-ca-cert.pem
的内容:
cat vcenter-ca-cert.pem
输出会显示 base64 编码的证书。例如:
-----BEGIN CERTIFICATE----- MIIEGTCCAwGgAwIBAgIJAPW1akYrS5L6MA0GCSqGSIb3DQEBCwUAMIGXMQswCQYD VQQDDAJDQTEXMBUGCgmSJomT8ixkARkWB3ZzcGhlcmUxFTATBgoJkiaJk/IsZAEZ FgVsb2NhbDELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3JuaWExGTAXBgNV ... 0AaWpaT9QCTS31tbBgBYB1W+IS4qeMK5dz5Tko5460GgbSNLuz5Ml+spW745RbGA 76ePS+sXL0WYqZa1iyAb3x8E3xn5cVGtJlxXu4PkJa76OtdDjqWAlqkNvVZB -----END CERTIFICATE-----
查看已解码的证书:
openssl x509 -in vcenter-ca-cert.pem -text -noout
输出会显示已解码的证书。例如:
Certificate: Data: Version: 3 (0x2) Serial Number: f5:b5:6a:46:2b:4b:92:fa Signature Algorithm: sha256WithRSAEncryption Issuer: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering Validity ... Subject: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public-Key: (2048 bit) Modulus: 00:e0:39:28:9d:c1:f5:ac:69:04:3f:b0:a0:31:9e: 89:0b:6e:f7:1e:2b:3b:94:ac:1c:47:f0:52:2e:fa: 6d:52:2c:de:66:3e:4e:40:6a:58:c7:cc:99:46:81: ... 5c:d6:a9:ab:a9:87:26:0f:d2:ef:9e:a1:61:3d:38: 18:bf Exponent: 65537 (0x10001) X509v3 extensions: ... Signature Algorithm: sha256WithRSAEncryption 58:24:57:36:a4:66:fa:16:e1:82:b1:ee:a7:1a:77:db:77:6c: 0a:b7:2e:7a:11:ca:0b:38:21:d2:d2:ab:3c:30:82:3f:ae:22: ... ad:26:5c:57:bb:83:e4:25:ae:fa:3a:d7:43:8e:a5:80:96:a9: 0d:bd:56:41
将您的证书文件复制到您选择的位置。
然后,在配置文件中提供 caCertPath
的值时,请输入证书文件的路径。
例如,在管理员工作站配置文件中:
gcp: ... vCenter: ... caCertPath: "/path/to/vcenter-ca-cert.pem"