Este documento mostra como obter o certificado de raiz para o seu servidor vCenter. Esta página destina-se a administradores de TI e operadores que gerem o ciclo de vida da infraestrutura tecnológica subjacente. Para saber mais sobre as funções comuns e as tarefas de exemplo a que fazemos referência no Google Cloud conteúdo, consulte o artigo Funções e tarefas comuns do utilizador do GKE.
Quando um cliente, como o Google Distributed Cloud, envia um pedido ao seu servidor vCenter, o servidor tem de provar a sua identidade ao cliente apresentando um certificado ou um pacote de certificados. Para validar o certificado ou o pacote, o Google Distributed Cloud (apenas software) para VMware tem de ter o certificado de raiz na cadeia de confiança.
Quando preenche um ficheiro de configuração da estação de trabalho de administrador, indica o caminho do certificado de raiz no campo vCenter.caCertPath.
A sua instalação do VMware tem uma autoridade de certificação (AC) que emite um certificado para o seu servidor vCenter. O certificado de raiz na cadeia de confiança é um certificado autoassinado criado pela VMware.
Se não quiser usar a AC da VMWare, que é a predefinição, pode configurar o VMware para usar uma autoridade de certificação diferente.
Se o seu servidor vCenter usar um certificado emitido pela AC da VMware predefinida, transfira o certificado da seguinte forma:
curl -k "https://[SERVER_ADDRESS]/certs/download.zip" > download.zip
Substitua [SERVER_ADDRESS] pela morada do seu servidor vCenter.
Instale o comando unzip e descomprima o ficheiro de certificado:
sudo apt-get install unzip unzip download.zip
Se o comando de descompressão não funcionar da primeira vez, introduza o comando novamente.
Encontre o ficheiro do certificado e um ficheiro de revogação em certs/lin. Por exemplo:
457a65e8.0 457a65e8.r0
No exemplo anterior, 457a65e8.0 é o ficheiro de certificado e 457a65e8.r0 é o ficheiro de revogação.
Pode mudar o nome do ficheiro de certificado para qualquer nome à sua escolha. A extensão de ficheiro pode ser .pem, mas não tem de ser .pem.
Por exemplo, suponhamos que muda o nome do ficheiro de certificado para vcenter-ca-cert.pem.
Veja o conteúdo de vcenter-ca-cert.pem:
cat vcenter-ca-cert.pem
O resultado mostra o certificado codificado em base64. Por exemplo:
-----BEGIN CERTIFICATE----- MIIEGTCCAwGgAwIBAgIJAPW1akYrS5L6MA0GCSqGSIb3DQEBCwUAMIGXMQswCQYD VQQDDAJDQTEXMBUGCgmSJomT8ixkARkWB3ZzcGhlcmUxFTATBgoJkiaJk/IsZAEZ FgVsb2NhbDELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3JuaWExGTAXBgNV ... 0AaWpaT9QCTS31tbBgBYB1W+IS4qeMK5dz5Tko5460GgbSNLuz5Ml+spW745RbGA 76ePS+sXL0WYqZa1iyAb3x8E3xn5cVGtJlxXu4PkJa76OtdDjqWAlqkNvVZB -----END CERTIFICATE-----
Veja o certificado descodificado:
openssl x509 -in vcenter-ca-cert.pem -text -noout
O resultado mostra o certificado descodificado. Por exemplo:
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
f5:b5:6a:46:2b:4b:92:fa
Signature Algorithm: sha256WithRSAEncryption
Issuer: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering
Validity
...
Subject: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public-Key: (2048 bit)
Modulus:
00:e0:39:28:9d:c1:f5:ac:69:04:3f:b0:a0:31:9e:
89:0b:6e:f7:1e:2b:3b:94:ac:1c:47:f0:52:2e:fa:
6d:52:2c:de:66:3e:4e:40:6a:58:c7:cc:99:46:81:
...
5c:d6:a9:ab:a9:87:26:0f:d2:ef:9e:a1:61:3d:38:
18:bf
Exponent: 65537 (0x10001)
X509v3 extensions:
...
Signature Algorithm: sha256WithRSAEncryption
58:24:57:36:a4:66:fa:16:e1:82:b1:ee:a7:1a:77:db:77:6c:
0a:b7:2e:7a:11:ca:0b:38:21:d2:d2:ab:3c:30:82:3f:ae:22:
...
ad:26:5c:57:bb:83:e4:25:ae:fa:3a:d7:43:8e:a5:80:96:a9:
0d:bd:56:41
Copie o ficheiro de certificado para uma localização à sua escolha.
Em seguida, quando tiver de fornecer um valor para caCertPath num ficheiro de configuração,
introduza o caminho do ficheiro de certificado.
Por exemplo, no ficheiro de configuração da estação de trabalho de administração:
gcp: ... vCenter: ... caCertPath: "/path/to/vcenter-ca-cert.pem"