קבלת אישור הבסיס של רשות האישורים (CA) של vCenter

במאמר הזה מוסבר איך מקבלים את אישור הבסיס של שרת vCenter. הדף הזה מיועד לאדמינים ולמפעילים בתחום ה-IT שמנהלים את מחזור החיים של תשתית טכנולוגית בסיסית. מידע נוסף על תפקידים נפוצים ומשימות לדוגמה שאנחנו מתייחסים אליהם בתוכן זמין במאמר תפקידים נפוצים של משתמשי GKE ומשימות. Google Cloud

כשלקוח, כמו Google Distributed Cloud, שולח בקשה לשרת vCenter, השרת חייב להוכיח את הזהות שלו ללקוח על ידי הצגת אישור או חבילת אישורים. כדי לאמת את האישור או את החבילה, אישור הבסיס צריך להיות בשרשרת האמון של Google Distributed Cloud (תוכנה בלבד) ל-VMware.

כשממלאים קובץ תצורה של תחנת עבודה לאדמינים, מציינים את הנתיב של אישור הבסיס בשדה vCenter.caCertPath.

בהתקנת VMware יש רשות אישורים (CA) שמנפיקה אישור לשרת vCenter. אישור הבסיס בשרשרת המהימנות הוא אישור בחתימה עצמית שנוצר על ידי VMware.

אם אתם לא רוצים להשתמש ב-VMWare CA, שהוא ברירת המחדל, אתם יכולים להגדיר את VMware כך שישתמש בסמכות אישורים אחרת.

אם שרת vCenter משתמש באישור שהונפק על ידי רשות האישורים (CA) של VMware שמוגדרת כברירת מחדל, צריך להוריד את האישור באופן הבא:

curl -k "https://[SERVER_ADDRESS]/certs/download.zip" > download.zip

מחליפים את [SERVER_ADDRESS] בכתובת של שרת vCenter.

מתקינים את הפקודה unzip ומבטלים את הדחיסה של קובץ האישור:

sudo apt-get install unzip
unzip download.zip

אם פקודת הפתיחה לא פועלת בפעם הראשונה, מזינים את הפקודה שוב.

מוצאים את קובץ האישור ואת קובץ הביטול בתיקייה certs/lin. לדוגמה:

457a65e8.0
457a65e8.r0

בדוגמה הקודמת, 457a65e8.0 הוא קובץ האישור ו-457a65e8.r0 הוא קובץ הביטול.

אפשר לשנות את שם קובץ האישור לכל שם שרוצים. סיומת הקובץ יכולה להיות .pem, אבל היא לא חייבת להיות .pem.

לדוגמה, נניח ששיניתם את השם של קובץ האישור ל-vcenter-ca-cert.pem.

כדי לראות את התוכן של vcenter-ca-cert.pem:

cat vcenter-ca-cert.pem

הפלט מציג את האישור בקידוד base64. לדוגמה:

-----BEGIN CERTIFICATE-----
MIIEGTCCAwGgAwIBAgIJAPW1akYrS5L6MA0GCSqGSIb3DQEBCwUAMIGXMQswCQYD
VQQDDAJDQTEXMBUGCgmSJomT8ixkARkWB3ZzcGhlcmUxFTATBgoJkiaJk/IsZAEZ
FgVsb2NhbDELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3JuaWExGTAXBgNV
...
0AaWpaT9QCTS31tbBgBYB1W+IS4qeMK5dz5Tko5460GgbSNLuz5Ml+spW745RbGA
76ePS+sXL0WYqZa1iyAb3x8E3xn5cVGtJlxXu4PkJa76OtdDjqWAlqkNvVZB
-----END CERTIFICATE-----

צפייה באישור המפוענח:

openssl x509 -in vcenter-ca-cert.pem -text -noout

הפלט מציג את האישור המפוענח. לדוגמה:

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            f5:b5:6a:46:2b:4b:92:fa
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering
        Validity
            ...
        Subject: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)
                Modulus:
                    00:e0:39:28:9d:c1:f5:ac:69:04:3f:b0:a0:31:9e:
                    89:0b:6e:f7:1e:2b:3b:94:ac:1c:47:f0:52:2e:fa:
                    6d:52:2c:de:66:3e:4e:40:6a:58:c7:cc:99:46:81:
                    ...
                    5c:d6:a9:ab:a9:87:26:0f:d2:ef:9e:a1:61:3d:38:
                    18:bf
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            ...
    Signature Algorithm: sha256WithRSAEncryption
         58:24:57:36:a4:66:fa:16:e1:82:b1:ee:a7:1a:77:db:77:6c:
         0a:b7:2e:7a:11:ca:0b:38:21:d2:d2:ab:3c:30:82:3f:ae:22:
         ...
         ad:26:5c:57:bb:83:e4:25:ae:fa:3a:d7:43:8e:a5:80:96:a9:
         0d:bd:56:41

מעתיקים את קובץ האישור למיקום הרצוי.

לאחר מכן, כשצריך לספק ערך ל-caCertPath בקובץ הגדרה, מזינים את הנתיב של קובץ האישור.

לדוגמה, בקובץ התצורה של תחנת העבודה של האדמין:

gcp:
  ...
vCenter:
  ...
  caCertPath: "/path/to/vcenter-ca-cert.pem"