系统管理员可以将自签名证书更新或替换为证书颁发机构的可信证书。只要能满足信任要求,您可以使用使用者备用名称 (SAN) 证书、通配符证书或适用于您的环境的其他任何多用途认证方法。

关于此任务

更新或替换 vRealize Automation 设备 证书时,系统会自动重新启动对其他相关组件的信任。有关更新证书的详细信息,请参见更新 vRealize Automation 证书

过程

  1. 打开 Web 浏览器,输入 vRealize Automation 设备 管理界面 URL。
  2. 使用用户名 root 以及部署 vRealize Automation 设备 时指定的密码进行登录。
  3. 选择 vRA 设置 > 主机设置
  4. 证书操作菜单中选择证书类型。

    如果使用的是采用 PEM 编码的证书(例如,对于分布式环境),请选择导入

    您导入的证书必须可信,还必须通过使用使用者备用名称 (Subject Alternative Name, SAN)证书适用于 vRealize Automation 设备 的所有实例以及任何负载平衡器。

    注:

    如果使用证书链,请按以下顺序指定证书:

    1. 由中间 CA 证书签名的客户端/服务器证书

    2. 一个或多个中间证书

    3. 根 CA 证书

    选项

    操作

    保留现有

    保留当前的 SSL 配置。选中此选项可取消所做的更改。

    生成证书

    1. 公用名称文本框中显示的值是出现在页面上部的主机名。如果存在 vRealize Automation 设备 的任何其他实例,其 FQDN 将包含在证书的 SAN 属性中。

    2. 组织文本框中输入组织名称,例如,您所在的公司名称。

    3. 组织单位文本框中输入组织单位,例如,您所在的部门名称或位置。

    4. 国家/地区文本框中,输入由两个字母组成的 ISO 3166 国家/地区代码,例如 US

    导入

    1. 将证书值从 BEGIN PRIVATE KEY 复制到 END PRIVATE KEY(包括头尾标记),然后将其粘贴到 RSA 私有密钥文本框中。

    2. 将证书值从 BEGIN CERTIFICATE 复制到 END CERTIFICATE(包括头尾标记),然后将其粘贴到证书链文本框中。对于多个证书值,请包括每个证书的头尾标记 BEGIN CERTIFICATE 和 END CERTIFICATE。

      注:

      如果存在链式证书,可能会提供其他属性。

    3. (可选)如果证书使用密码短语对证书密钥进行加密,请将密码短语复制并粘贴到密码短语文本框中。

  5. 单击保存设置

    几分钟后,vRealize Automation 设备 所有适用实例的证书详细信息将显示在页面上。

  6. 如果网络或负载平衡器需要,请将导入或新创建的证书复制到虚拟设备负载平衡器。

    您可能需要启用根 SSH 访问权限才能导出该证书。

    1. 如果尚未登录,请以 root 用户身份登录到 vRealize Automation Appliance 管理控制台。
    2. 单击管理选项卡。
    3. 单击管理子菜单。
    4. 选中 SSH 服务已启用复选框。

      完成后,取消选中该复选框可禁用 SSH。

    5. 选中管理员 SSH 登录复选框。

      完成后,取消选中该复选框可禁用 SSH。

    6. 单击保存设置
  7. 确认可以登录到 vRealize Automation 控制台。
    1. 打开浏览器,导航到 https://vcac-hostname.domain.name/vcac/。

      如果使用负载平衡器,则主机名必须是负载平衡器的完全限定域名。

    2. 如果出现提示,请跳过证书警告以继续。
    3. 使用 administrator@vsphere.local 以及配置身份目录管理时指定的密码登录。

      控制台打开管理选项卡上的租户页面。命名为 vsphere.local 的单个租户出现在列表上。

  8. 如果使用负载平衡器,请配置并启用任何适用的运行状况检查。

结果

该证书将会更新。