Se você atualizar ou alterar certificados do Appliance do vRealize Automation ou IaaS, precisará atualizar o vRealize Orchestrator para confiar em certificados novos ou atualizados.

Este procedimento se aplica a todas as implantações do vRealize Automation que usam uma instância integrada do vRealize Orchestrator. Se você usar uma instância externa do vRealize Orchestrator, consulte Atualizar o vRealize Orchestrator externo para confiar em certificados do vRealize Automation.

Observação: Esse procedimento redefine a autenticação do tenant e do grupo de volta para as configurações padrão. Se você tiver personalizado a configuração da autenticação, observe as alterações para que possa configurar a autenticação novamente após concluir o procedimento.

Consulte a documentação do vRealize Orchestrator para obter mais informações sobre como atualizar e substituir certificados do vRealize Orchestrator.

Em uma configuração de cluster, você deve concluir esse procedimento no nó do appliance mestre do vRealize Automation e, em seguida, executar um join-cluster em relação ao mestre de cada nó do appliance de réplica do vRealize Automation.
Observação: Em um cluster, pare o serviço do vco-configurator em todos os nós de réplica até que o procedimento seja concluído para evitar a sincronização de centro de controle automática indesejada.

Se você substituir ou atualizar os certificados do vRealize Automation sem concluir esse procedimento, o Centro de Controle do vRealize Orchestrator poderá estar inacessível e poderão aparecer erros nos arquivos de log do vco-server e do vco-configurator.

Problemas com certificados de atualização também poderão ocorrer se o vRealize Orchestrator estiver configurado para ser autenticado em relação a um tenant e um grupo do vRealize Automation diferentes. Para obter informações, consulte o artigo de Base de Conhecimento da VMware Cadeia de certificados não confiáveis de exceção após a substituição do certificado do vRA (2147612).

As sintaxes do comando de confiança mostradas aqui são representativas, em vez de definitivas. Embora sejam apropriadas para a maioria das implantações típicas, pode haver situações em que você precise testar com variações nos comandos.

  • Se você especificar o --certificate, deverá fornecer o caminho para um arquivo de certificado válido no formato PEM.
  • Se você especificar o --uri, deverá fornecer o URI do qual o comando pode obter um certificado confiável.
  • Se você especificar a opção do --registry-certificate, indique que o certificado solicitado deve ser tratado como o certificado para o registro de componente e o certificado confiável seja adicionado ao truststore sob um alias específico usado pelo certificado de registro do componente.

Você também pode gerenciar certificados usando fluxos de trabalho do Gerenciador de Confiança SSL no vRealize Orchestrator. Para obter informações, consulte o tópico Gerenciar certificados do Orchestrator na documentação do vRealize Orchestrator.

Procedimento

  1. Interrompa os serviços do servidor e do Centro de Controle do vRealize Orchestrator.
    service vco-server stop
    service vco-configurator stop
  2. Redefina o provedor de autenticação do vRealize Orchestrator executando o seguinte comando.
    /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh reset-authentication
    ls -l /etc/vco/app-server/
    mv /etc/vco/app-server/vco-registration-id /etc/vco/app-server/vco-registration-id.old
    vcac-vami vco-service-reconfigure
  3. Verifique o certificado confiável do armazenamento confiável para o vRealize Orchestrator usando o utilitário de interface de linha de comandos localizado em /var/lib/vco/tools/configuration-cli/bin com o seguinte comando.
    /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh list-trust
    • Verifique o certificado com o alias a seguir: vco.cafe.component registry.ssl.certificate. Isso deve ser o certificado do vRealize Automation que a instância do vRealize Orchestrator usa como um provedor de autenticação.
    • Esse certificado deve corresponder ao certificado do vRealize Automation configurado recentemente. Se não corresponder, poderá ser alterado da seguinte maneira:
      1. Copie o arquivo PEM do certificado do appliance assinado do vRealize Automation para a pasta /tmp no appliance.
      2. Execute o seguinte comando adicionando o caminho do certificado apropriado.
        ./vro-configure.sh trust --certificate path-to-the-certificate-file-in-PEM-format--registry-certificate
        Consulte o comando do exemplo a seguir.
        /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh trust --certificate /var/tmp/test.pem --registry-certifcate
  4. Pode ser necessário executar os seguintes comandos para confiar no certificado.
    /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh trust --uri https://vra.domain.com
    
    /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh trust --registry-certificate --uri https://vra.domain.com
  5. Certifique-se de que o certificado do vRealize Automation agora esteja inserido no armazenamento de confiança do vRealize Orchestrator usando o seguinte comando.
    /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh list-trust
  6. Inicie os serviços do servidor e do centro de controle do vRealize Orchestrator.
    service vco-server start
    service vco-configurator start

O que Fazer Depois

Você pode validar que a confiança foi atualizada em um sistema em cluster.

  1. Faça login na interface de gerenciamento de appliance como raiz.
  2. Selecione a página Serviços.
  3. Certifique-se de que não haja serviços vco duplicados listados.

    Se você vir qualquer duplicata dos serviços vco listados, clique em Cancelar registro para remover os serviços que não têm um estado de Registered.

  4. Certifique-se de que o vco-configurator seja iniciado em todos os nós do appliance virtual.
  5. Faça login no centro de controle do vRealize Orchestrator e navegue até a página Validar Configuração para validar a configuração.
  6. Navegue até a página Provedor de Autenticação e verifique se as configurações de autenticação estão corretas.

    Você também pode testar as credenciais de login nesta página.