vRealize Automation usa certificados para manter relações confiáveis e fornecer comunicação segura entre componentes em implantações distribuídas.

Em uma implantação distribuída, ou em cluster, uma organização de certificados segue em grande parte a arquitetura de três camadas do vRealize Automation.

  • Dispositivos do vRealize Automation

  • Componentes Web IaaS

  • Componentes IaaS do Service Manager

Em uma implantação distribuída, cada máquina em um determinado nível compartilha um certificado. Por exemplo, cada dispositivo do vRealize Automation compartilha um certificado comum e cada host do Manager Service compartilha um certificado comum.

Quando os componentes Web e do Manager Service estão hospedados na mesma máquina, um certificado é suficiente para ambas as camadas.

Certificados gerados pelo sistema

Começando na versão 7.0, se você não fornecer seus próprios certificados, o Assistente de instalação do vRealize Automation poderá gerar automaticamente certificados autoassinados e colocá-los nos repositórios de confiança apropriados dos componentes distribuídos que precisam deles.

Se precisar atualizar os certificados autoassinados gerados pelo sistema com certificados fornecidos pelo usuário ou pela CA, consulte Atualizando certificados do vRealize Automation.

Fornecendo seus próprios certificados

Ao executar o instalador manual padrão, você fornece seus próprios certificados autoassinados gerados ou certificados da autoridade de certificação (CA).

Ao fornecer ou gerar seus próprios certificados usando o OpenSSL ou outro método, você pode usar certificados-curinga ou SAN (Nome alternativo do emissor).

Os certificados IaaS devem ser de uso múltiplo. Ao fornecer certificados, você deve obter um certificado de uso múltiplo que inclua os componentes IaaS no cluster e copiá-lo para o repositório confiável de cada componente.

Balanceadores de Carga

Para alta disponibilidade e failover, você pode adicionar balanceadores de carga na frente de componentes do vRealize Automation distribuídos. A VMware recomenda uma configuração de passagem para balanceadores de carga do vRealize Automation. Em uma configuração de passagem, os balanceadores de carga passam solicitações para componentes sem descriptografia. Os dispositivos do vRealize Automation e hosts IaaS realizam a descriptografia necessária.

Se você usar balanceadores de carga, deverá incluir o FQDN do balanceador de carga no endereço confiável dos certificados de uso múltiplo do cluster.

Para obter mais informações sobre como usar e configurar balanceadores de carga, consulte Balanceamento de carga do vRealize Automation.

Requisitos de confiança de certificados

A tabela a seguir resume os requisitos de registro de confiança para vários certificados importados.

Importar

Registrar

Cluster do appliance do vRealize Automation

Cluster de componentes IaaS Web

Cluster de componentes Web IaaS

  • Cluster do appliance do vRealize Automation

  • Cluster de componente do Manager Service

  • Componentes do DEM Orchestrator e do DEM Worker

Cluster de componentes IaaS do Manager Service

  • Componentes do DEM Orchestrator e do DEM Worker

  • Agentes e agentes proxy

Confiança de certificado e o instalador padrão

Sempre que você executa pela primeira vez ou novamente o instalador manual padrão para criar componentes IaaS, deve configurar a confiança de certificado nesses componentes IaaS. Por exemplo, você pode usar o instalador padrão para dimensionar horizontalmente uma implantação existente.

  • Hosts IaaS Web e do Manager Service

    Importe os arquivos web.pfx e ms.pfx para os seguintes locais.

    Host Computer/Certificates/Personal certificate store
    Host Computer/Certificates/Trusted People certificate store
  • Hosts IaaS do DEM Orchestrator, do DEM Worker e do agente de proxy

    Importe os arquivos web.pfx e ms.pfx para o seguinte local.

    Host Computer/Certificates/Trusted People certificate store

No repositório de certificados de Pessoas Confiáveis, você não precisa importar a chave privada junto com o certificado. O processo de instalação automática instala apenas o certificado no repositório de certificados de Pessoas Confiáveis.