系统管理员可以将过期的证书或自签名证书替换为自证书颁发机构的可信证书,从而确保分布式部署环境中的安全性。

关于此任务

您可以在多台计算机上使用一个使用者备用名称 (SAN) 证书。签发用于 IaaS 组件(网站和 Manager Service)的证书时,必须指定 SAN 值,包括安装了相应组件的所有 Windows 主机的 FQDN 和同一组件的负载平衡器 FQDN。

有三个证书替换选项:

  • 生成证书 - 使用此选项可以让系统生成自签名证书。

  • 导入证书 - 如果有要使用的证书,请使用此选项。

  • 提供证书指纹 - 如果接受了一个由 CA 签名的证书,但该证书并不被系统所信任,您必须确定是否接受证书指纹。使用指纹可以快速确定出现的证书是否与另一个证书(例如,以前接受过的证书)相同。

此外,还可以使用“保留现有”来保留现有的证书。

过程

  1. 打开 Web 浏览器,输入 vRealize Automation 设备 管理界面 URL。
  2. 使用用户名 root 以及部署 vRealize Automation 设备 时指定的密码进行登录。
  3. 选择 vRA 设置 > 证书
  4. 单击组件类型菜单上的 IaaS Web
  5. 转至 IaaS Web 证书窗格。
  6. 证书操作菜单中选择证书替换选项。

    如果使用的是采用 PEM 编码的证书(例如,对于分布式环境),请选择导入

    您导入的证书必须可信,还必须通过使用使用者备用名称 (Subject Alternative Name, SAN)证书适用于 vRealize Automation 设备 的所有实例以及任何负载平衡器。

    注:

    如果使用证书链,请按以下顺序指定证书:

    1. 由中间 CA 证书签名的客户端/服务器证书

    2. 一个或多个中间证书

    3. 根 CA 证书

    选项

    描述

    保留现有

    保留当前的 SSL 配置。选中此选项可取消所做的更改。

    生成证书

    1. 公用名称文本框中显示的值是出现在页面上部的主机名。如果存在 vRealize Automation 设备 的任何其他实例,其 FQDN 将包含在证书的 SAN 属性中。

    2. 组织文本框中输入组织名称,例如,您所在的公司名称。

    3. 组织单位文本框中输入组织单位,例如,您所在的部门名称或位置。

    4. 国家/地区文本框中,输入由两个字母组成的 ISO 3166 国家/地区代码,例如 US

    导入

    1. 将证书值从 BEGIN PRIVATE KEY 复制到 END PRIVATE KEY(包括头尾标记),然后将其粘贴到 RSA 私有密钥文本框中。

    2. 将证书值从 BEGIN CERTIFICATE 复制到 END CERTIFICATE(包括头尾标记),然后将其粘贴到证书链文本框中。对于多个证书值,请包括每个证书的头尾标记 BEGIN CERTIFICATE 和 END CERTIFICATE。

      注:

      如果存在链式证书,可能会提供其他属性。

    3. (可选)如果证书使用密码短语对证书密钥进行加密,请将密码短语复制并粘贴到密码短语文本框中。

    提供证书指纹

    如果希望提供证书指纹才能使用已在 IaaS 服务器证书存储中部署的证书,请使用此选项。使用此选项时,证书并不会从虚拟设备传输到 IaaS 服务器,但用户可以将现有证书部署到 IaaS 服务器上,而无需在管理界面中上载这些证书。

  7. 单击“保存设置”。

    几分钟后,页面上将显示证书详细信息。