取得 vCenter CA 根憑證

本文說明如何取得 vCenter Server 的根憑證。 本頁面適用於負責管理基礎技術架構生命週期的 IT 管理員和作業人員。如要進一步瞭解我們在 Google Cloud 內容中提及的常見角色和範例工作,請參閱「常見的 GKE Enterprise 使用者角色和工作」。

當 Google Distributed Cloud 等用戶端將要求傳送至 vCenter 伺服器時,伺服器必須出示憑證或憑證組合,向用戶端證明自己的身分。如要驗證憑證或組合,Google Distributed Cloud (僅限軟體) for VMware 必須在信任鏈中擁有根憑證。

填寫管理員工作站設定檔時,請在 vCenter.caCertPath 欄位中提供根憑證的路徑。

VMware 安裝作業會建立憑證授權單位 (CA),並向 vCenter 伺服器核發憑證。信任鏈中的根憑證是由 VMware 建立的自行簽署憑證。

如果您不想使用預設的 VMWare CA,可以設定 VMware 使用其他憑證授權單位

如果 vCenter Server 使用預設 VMware CA 核發的憑證,請按照下列步驟下載憑證:

curl -k "https://[SERVER_ADDRESS]/certs/download.zip" > download.zip

[SERVER_ADDRESS] 替換為 vCenter 伺服器的位址。

安裝 unzip 指令並解壓縮憑證檔案:

sudo apt-get install unzip
unzip download.zip

如果第一次執行解壓縮指令時發生錯誤,請再次輸入指令。

certs/lin 中找出憑證檔案和撤銷檔案。例如:

457a65e8.0
457a65e8.r0

在上述範例中,457a65e8.0 是憑證檔案,457a65e8.r0 則是撤銷檔案。

您可以將憑證檔案重新命名為任何名稱。檔案副檔名可以是 .pem,但不一定要是 .pem

舉例來說,假設您將憑證檔案重新命名為 vcenter-ca-cert.pem

查看「vcenter-ca-cert.pem」的內容:

cat vcenter-ca-cert.pem

輸出內容會顯示以 base64 編碼的憑證。例如:

-----BEGIN CERTIFICATE-----
MIIEGTCCAwGgAwIBAgIJAPW1akYrS5L6MA0GCSqGSIb3DQEBCwUAMIGXMQswCQYD
VQQDDAJDQTEXMBUGCgmSJomT8ixkARkWB3ZzcGhlcmUxFTATBgoJkiaJk/IsZAEZ
FgVsb2NhbDELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3JuaWExGTAXBgNV
...
0AaWpaT9QCTS31tbBgBYB1W+IS4qeMK5dz5Tko5460GgbSNLuz5Ml+spW745RbGA
76ePS+sXL0WYqZa1iyAb3x8E3xn5cVGtJlxXu4PkJa76OtdDjqWAlqkNvVZB
-----END CERTIFICATE-----

查看解碼後的憑證:

openssl x509 -in vcenter-ca-cert.pem -text -noout

輸出內容會顯示解碼後的憑證,例如:

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            f5:b5:6a:46:2b:4b:92:fa
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering
        Validity
            ...
        Subject: CN = CA, DC = vsphere, DC = local, C = US, ST = California, O = uphc-vc01.anthos, OU = VMware Engineering
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)
                Modulus:
                    00:e0:39:28:9d:c1:f5:ac:69:04:3f:b0:a0:31:9e:
                    89:0b:6e:f7:1e:2b:3b:94:ac:1c:47:f0:52:2e:fa:
                    6d:52:2c:de:66:3e:4e:40:6a:58:c7:cc:99:46:81:
                    ...
                    5c:d6:a9:ab:a9:87:26:0f:d2:ef:9e:a1:61:3d:38:
                    18:bf
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            ...
    Signature Algorithm: sha256WithRSAEncryption
         58:24:57:36:a4:66:fa:16:e1:82:b1:ee:a7:1a:77:db:77:6c:
         0a:b7:2e:7a:11:ca:0b:38:21:d2:d2:ab:3c:30:82:3f:ae:22:
         ...
         ad:26:5c:57:bb:83:e4:25:ae:fa:3a:d7:43:8e:a5:80:96:a9:
         0d:bd:56:41

將憑證檔案複製到您選擇的位置。

然後,當您需要在設定檔中提供 caCertPath 的值時,請輸入憑證檔案的路徑。

舉例來說,在管理員工作站設定檔中:

gcp:
  ...
vCenter:
  ...
  caCertPath: "/path/to/vcenter-ca-cert.pem"