注意：

• 此教學課程需要存取 Oracle Cloud。若要註冊免費帳戶，請參閱 Oracle Cloud Infrastructure Free Tier 入門。
• 它會使用 Oracle Cloud Infrastructure 證明資料、租用戶以及區間的範例值。完成實驗室之後，請將這些值取代為您雲端環境特有的值。

運用 Oracle Cloud VMware 解決方案，為 VMware vSphere 7 的金鑰提供者新增 Entrust KeyControl

簡介

本教學課程提供的作業簡介，說明如何在 Oracle Cloud VMware Solution 軟體定義資料中心 (SDDC) 叢集上，將 Entrust KeyControl 5.4 解決方案設定為 VMware vSphere 7 的金鑰提供者。本教學課程焦點在於提供可用的組態，並標示使用 Entrust KeyControl 與 Oracle Cloud VMware 解決方案所需的「How-to」步驟。

在 vSphere 中，標準金鑰提供者會直接從金鑰伺服器取得加密金鑰，而 vCenter 伺服器會將金鑰分送至資料中心中所需的 ESXi 主機。

在 VMware vSphere 環境中使用標準金鑰提供者時，必須進行一些準備。設定環境之後，您可以建立加密虛擬機器與虛擬磁碟，也可以加密現有的虛擬機器與磁碟。

必要條件

• 部署 Oracle Cloud VMware 解決方案。
• Oracle Cloud VMware Solution 上執行的完整 KeyControl 5.x 部署。
• 確認金鑰伺服器位於金鑰管理伺服器 (KMS) 的 VMware Compatibility Guide 中，並且與金鑰管理互通性協定 (KMIP) 1.1 相容，而且可以是對稱金鑰的基礎和伺服器。
• 確認您有必要的權限：加密作業和管理金鑰伺服器。
• 請確定金鑰伺服器具備高可用性。遺失與金鑰伺服器的連線，例如發生電源中斷或災害復原事件時，無法存取加密的虛擬機器。

目標

將 Entrust KeyControl KMS 解決方案連結為 Oracle Cloud VMware 解決方案 vCenter 金鑰提供者，以啟用 VM 加密。

作業 1：在 Entrust KeyControl 中啟用 KMIP 伺服器

1. 登入已部署的 Entrust KeyControl 叢集，然後按一下 KMIP 功能表項目。

   

2. 在「KMIP 伺服器設定」畫面中，您必須更新下列 KMIP 伺服器設定。

   2.1.在狀態欄位中，選取已啟用。

   2.2 對於協定欄位，選取版本 1.1。

   注意：VMware 支援金鑰提供者的 KMIP 版本 1.1。

   

3. 按一下套用。

4. 隨即顯示覆寫所有現有的 KMIP 伺服器設定值的對話方塊。按一下繼續。

作業 2：建立用戶端憑證

Entrust KeyControl 與 VMware vCenter 之間的通訊透過憑證完成。因此，程序的下一步就是建立用戶端憑證。

1. 按一下從屬端憑證。

   

2. 按一下動作，然後按一下建立憑證。

3. 在憑證名稱欄位中輸入憑證的名稱。您可以調整到期日。

   重要事項：

   • 請勿新增憑證密碼。若新增密碼，VMware vCenter 將無法匯入憑證。如果您使用密碼管理員能夠自動在此對話方塊中填入密碼，您必須確定您已清除密碼管理員自動為您填寫的密碼欄位 (BEFORE)，請按一下「建立」按鈕。

   

4. 按一下建立。

5. 您將會在 WebUI 中看到新的憑證。按一下憑證，然後按一下藍色動作按鈕，然後選取下載憑證。

注意：壓縮檔將會下載至您的系統。解壓縮檔案的內容並記下位置。您需要任務 4 中的憑證檔案。

作業 3：新增金鑰提供者

1. 登入 Oracle Cloud VMware Solution vCenter。

2. 按一下 vCenter 的名稱。

3. 按一下設定。

4. 按一下安全性區段中的金鑰提供者。

5. 按一下「新增標準金鑰提供者」。

   

6. 輸入金鑰提供者的名稱。這只是參照名稱。不需要符合您在 Entrust KeyControl 中使用的任何名稱。

   

7. 輸入 KMS 伺服器的名稱，以及第一個 Entrust KeyControl 節點的 IP 位址或 FQDN。建議您通常比對 KMS 伺服器的名稱與您正在新增之節點的主機名稱。按一下新增 KMS，然後新增第二個 KeyControl 節點。

   重要事項：

   • 展開密碼保護區段，確認密碼欄位是否空白。
   • 如果您使用密碼管理員能夠自動在此對話方塊中填入密碼，請必須展開密碼保護區段，並清除密碼管理員自動為您 BEFORE 填寫的密碼欄位，您可以按一下新增金鑰提供者按鈕。

8. 準備就緒後，請按一下新增金鑰提供者。

9. 按一下信任。

   

10. 選取「金鑰提供者」旁邊的圓鈕。這將會列出金鑰管理伺服器。

    

作業 4：使用從屬端憑證在 Entrust KeyControl 叢集之間建立信任

1. 按一下其中一個 KMS 伺服器，然後按一下建立信任。

   

2. 選取讓 KMS 信任 vCenter。

3. 按一下 KMS 憑證和私密金鑰，然後按一下下一步。

   

4. 按一下 KMS 憑證上傳檔案按鈕。

   • 瀏覽至您在作業 2 中解壓縮從屬端憑證壓縮檔內容的位置。您將會看到兩個 .pem 檔案。您可以忽略 cacert.pem 檔案。選取第二個 .pem 檔案，然後按一下確定。

5. 為 KMS 私密金鑰重複最後一個步驟，然後按一下建立信任。

   

6. 此時，來自上一個步驟的所有黃色三角形都會顯示含有核取標記的綠色圓圈。

   

   注意：如果您要檢視更多詳細資訊，請展開其中一個 KMS 伺服器項目。

   

接下來的步驟

為標準金鑰提供者設定環境之後，您就可以使用 VMware vSphere 從屬端執行下列作業：

• 建立加密的虛擬機器和虛擬磁碟。
• 加密現有的虛擬機器與磁碟。

相關連結

• Oracle Cloud VMware 解決方案
• Oracle Cloud VMware 解決方案部署
• VMware vSphere 信任授權
• VMware vSphere 標準金鑰提供者
• 在您的 vSphere 環境中使用加密
• 委託 KeyControl 功能
• Entrust KeyControl OVA v5.4 試用

致謝

• 作者 - Eran Maor (主要雲端解決方案架構師)

其他學習資源

探索 docs.oracle.com/learn 上的其他實驗室，或前往 Oracle Learning YouTube 通道存取更多免費學習內容。此外，請造訪 education.oracle.com/learning-explorer 以成為 Oracle Learning Explorer。

如需產品文件，請瀏覽 Oracle Help Center。

---

標題與版權資訊

Add Entrust KeyControl as a key provider for VMware vSphere 7 with Oracle Cloud VMware Solution

F58760-01

June 2022

Copyright © 2022, Oracle and/or its affiliates.