在正确的客户机代理文件夹中安装 vRealize Automation Manager Service 主机的公用密钥 PEM 文件,这是将客户机代理配置为信任服务器最安全的方法。

要使 Manager Service 主机信任服务器,请在 cert.pem PEM 文件的每个模板上找到客户机代理文件夹:

  • 使用 gugent 的每个模板上的 Windows 客户机代理文件夹

    C:\VRMGuestAgent\cert.pem
  • 使用 gugent 的每个模板上的 Linux 客户机代理文件夹

    /usr/share/gugent/cert.pem

    如果不将 cert.pem 文件放在此位置中,则模板参考机无法使用客户机代理。例如,如果您在启动虚拟机后尝试通过更改脚本收集公用密钥信息,则会带来安全风险。

注:

除此之外,您还可以将客户机代理配置为在首次使用时填充受信任的 cert.pem 文件,但是这种方法的安全性不如手动在每个模板上安装 cert.pem 文件。如果将单个模板用于多个服务器,请考虑此替代方法。要允许客户机代理信任其所连接到的第一个服务器,请在 Windows VRMGuestAgent 或 Linux /usr/share/gugent 目录中创建不含 cert.pem 文件的模板。客户机代理将在首次连接到服务器时填充 cert.pem 文件。

根据配置的环境,还需要考虑其他注意事项:

  • 对于 WIM 安装,您必须将公用密钥 PEM 文件内容添加到 PEBuilder 控制台可执行文件和用户界面。控制台标记为 /cert filename

  • 对于 RedHat kickstart 安装,您必须将公用密钥剪切并粘贴到示例文件,否则客户机代理将无法执行。

  • 对于 SCCM 安装,cert.pem 文件必须驻留在 VRMGuestAgent 文件夹中。

  • 对于 Linux vSphere 安装,cert.pem 文件必须驻留在 /usr/share/gugent 文件夹中。

注:

您可以选择将软件和客户机代理安装在一起,方法是从 https://APPLIANCE/software/index.html 下载以下脚本。该脚本允许您在创建模板时处理是否接受 SSL 证书指纹。

  • Linux

    prepare_vra_template.sh

  • Windows

    prepare_vra_template.ps1

如果将软件和客户机代理安装在一起,则您无需按照在 Linux 参考机中安装客户机代理在 Windows 参考机中安装客户机代理中的说明进行操作。

模板始终信任它所连接的第一个系统。为了安全起见,如果 cert.pem 文件存在于 Windows VRMGuestAgent 或 Linux /usr/share/gugent 目录中,则客户机代理不会检查证书。如果服务器证书发生更改,则您必须将 cert.pem 文件从 Windows VRMGuestAgent 或 Linux /usr/share/gugent 目录中移除。客户机代理将在下次连接到服务器时安装新的 cert.pem 文件。