系统管理员可以将过期的证书或自签名证书替换为自证书颁发机构的可信证书,从而确保分布式部署环境中的安全性。

关于此任务

您可以在多台计算机上使用一个使用者备用名称 (SAN) 证书。签发用于 IaaS 组件(网站和 Manager Service)的证书时,必须指定 SAN 值,该值包括安装有相应组件的所有 Windows 主机的 FQDN 以及同一个组件的负载平衡器 FQDN。

IaaS Manager Service 和 IaaS Web 服务共用一个证书。

过程

  1. 打开 Web 浏览器,输入 vRealize Automation 设备 管理界面 URL。
  2. 使用用户名 root 以及部署 vRealize Automation 设备 时指定的密码进行登录。
  3. 选择 vRA 设置 > 证书
  4. 证书类型菜单中单击管理器服务
  5. 证书操作菜单中选择证书类型。

    如果使用的是采用 PEM 编码的证书(例如,对于分布式环境),请选择导入

    您导入的证书必须可信,还必须通过使用使用者备用名称 (Subject Alternative Name, SAN)证书适用于 vRealize Automation 设备 的所有实例以及任何负载平衡器。

    注:

    如果使用证书链,请按以下顺序指定证书:

    1. 由中间 CA 证书签名的客户端/服务器证书

    2. 一个或多个中间证书

    3. 根 CA 证书

    选项

    描述

    保留现有

    保留当前的 SSL 配置。选中此选项可取消所做的更改。

    生成证书

    1. 公用名称文本框中显示的值是出现在页面上部的主机名。如果存在 vRealize Automation 设备 的任何其他实例,其 FQDN 将包含在证书的 SAN 属性中。

    2. 组织文本框中输入组织名称,例如,您所在的公司名称。

    3. 组织单位文本框中输入组织单位,例如,您所在的部门名称或位置。

    4. 国家/地区文本框中,输入由两个字母组成的 ISO 3166 国家/地区代码,例如 US

    导入

    1. 将证书值从 BEGIN PRIVATE KEY 复制到 END PRIVATE KEY(包括头尾标记),然后将其粘贴到 RSA 私有密钥文本框中。

    2. 将证书值从 BEGIN CERTIFICATE 复制到 END CERTIFICATE(包括头尾标记),然后将其粘贴到证书链文本框中。对于多个证书值,请包括每个证书的头尾标记 BEGIN CERTIFICATE 和 END CERTIFICATE。

      注:

      如果存在链式证书,可能会提供其他属性。

    3. (可选)如果证书使用密码短语对证书密钥进行加密,请将密码短语复制并粘贴到密码短语文本框中。

    提供证书指纹

    如果希望提供证书指纹才能使用已在 IaaS 服务器证书存储中部署的证书,请使用此选项。使用此选项时,证书并不会从虚拟设备传输到 IaaS 服务器,但用户可以将现有证书部署到 IaaS 服务器上,而无需在管理界面中上载这些证书。

  6. 单击保存设置

    几分钟后,页面上将显示证书详细信息。

  7. 如果网络或负载平衡器需要,请将导入或新创建的证书复制到负载平衡器。
  8. 在运行 DEM 工作线程或代理的服务器中打开浏览器,并导航到 https://managerServiceAdddress/vmpsProvision/

    如果使用负载平衡器,则主机名必须是负载平衡器的完全限定域名。

  9. 如果出现提示,请跳过证书警告以继续。
  10. 验证新证书已提供并且受信任。
  11. 如果使用负载平衡器,请配置并启用任何适用的运行状况检查。