Questo documento mostra come ottenere il certificato radice per il server vCenter. Questa pagina è rivolta agli amministratori IT e agli operatori che gestiscono il ciclo di vita dell'infrastruttura tecnologica sottostante. Per saperne di più sui ruoli comuni e sulle attività di esempio a cui facciamo riferimento nei Google Cloud contenuti, consulta Ruoli e attività utente GKE comuni.
Quando un client, come Google Distributed Cloud, invia una richiesta al server vCenter, il server deve dimostrare la sua identità al client presentando un certificato o un bundle di certificati. Per verificare il certificato o il bundle, Google Distributed Cloud (solo software) per VMware deve avere il certificato radice nella catena di attendibilità.
Quando compili un
file di configurazione della workstation amministrativa,
fornisci il percorso del certificato radice nel campo vCenter.caCertPath.
L'installazione di VMware ha un'autorità di certificazione (CA) che rilascia un certificato al server vCenter. Il certificato radice nella catena di attendibilità è un certificato autofirmato creato da VMware.
Se non vuoi utilizzare la CA VMWare, che è quella predefinita, puoi configurare VMware in modo che utilizzi un'autorità di certificazione diversa.
Se il server vCenter utilizza un certificato rilasciato dalla CA VMware predefinita, scarica il certificato nel seguente modo:
curl -k "https://[SERVER_ADDRESS]/certs/download.zip" > download.zip
Sostituisci [SERVER_ADDRESS] con l'indirizzo del server vCenter.
Installa il comando unzip ed espandi il file del certificato:
sudo apt-get install unzip unzip download.zip
Se il comando unzip non funziona la prima volta, inseriscilo di nuovo.
Trova il file del certificato e un file di revoca in certs/lin. Ad esempio:
457a65e8.0 457a65e8.r0
Nell'esempio precedente, 457a65e8.0 è il file del certificato e 457a65e8.r0 è il file di revoca.
Puoi rinominare il file del certificato con qualsiasi nome a tua scelta. L'estensione del file può essere .pem, ma non è obbligatoria..pem
Supponiamo, ad esempio, di rinominare il file del certificato in vcenter-ca-cert.pem.
Visualizza i contenuti di vcenter-ca-cert.pem:
cat vcenter-ca-cert.pem
L'output mostra il certificato con codifica Base64. Ad esempio:
-----BEGIN CERTIFICATE----- MIIEGTCCAwGgAwIBAgIJAPW1akYrS5L6MA0GCSqGSIb3DQEBCwUAMIGXMQswCQYD VQQDDAJDQTEXMBUGCgmSJomT8ixkARkWB3ZzcGhlcmUxFTATBgoJkiaJk/IsZAEZ FgVsb2NhbDELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3JuaWExGTAXBgNV ... 0AaWpaT9QCTS31tbBgBYB1W+IS4qeMK5dz5Tko5460GgbSNLuz5Ml+spW745RbGA 76ePS+sXL0WYqZa1iyAb3x8E3xn5cVGtJlxXu4PkJa76OtdDjqWAlqkNvVZB -----END CERTIFICATE-----
Visualizza il certificato decodificato:
openssl x509 -in vcenter-ca-cert.pem -text -noout
L'output mostra il certificato decodificato. Ad esempio:
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
f5:b5:6a:46:2b:4b:92:fa
Signature Algorithm: sha256WithRSAEncryption
Issuer: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering
Validity
...
Subject: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public-Key: (2048 bit)
Modulus:
00:e0:39:28:9d:c1:f5:ac:69:04:3f:b0:a0:31:9e:
89:0b:6e:f7:1e:2b:3b:94:ac:1c:47:f0:52:2e:fa:
6d:52:2c:de:66:3e:4e:40:6a:58:c7:cc:99:46:81:
...
5c:d6:a9:ab:a9:87:26:0f:d2:ef:9e:a1:61:3d:38:
18:bf
Exponent: 65537 (0x10001)
X509v3 extensions:
...
Signature Algorithm: sha256WithRSAEncryption
58:24:57:36:a4:66:fa:16:e1:82:b1:ee:a7:1a:77:db:77:6c:
0a:b7:2e:7a:11:ca:0b:38:21:d2:d2:ab:3c:30:82:3f:ae:22:
...
ad:26:5c:57:bb:83:e4:25:ae:fa:3a:d7:43:8e:a5:80:96:a9:
0d:bd:56:41
Copia il file del certificato in una località a tua scelta.
Quando devi fornire un valore per caCertPath in un file di configurazione, inserisci il percorso del file del certificato.
Ad esempio, nel file di configurazione della workstation amministrativa:
gcp: ... vCenter: ... caCertPath: "/path/to/vcenter-ca-cert.pem"