如果您更新或更改 vRealize Automation 设备 或 IaaS 证书,则必须更新 vRealize Orchestrator 以信任新证书或更新的证书。

关于此任务

此过程适用于使用嵌入式 vRealize Orchestrator 实例的所有 vRealize Automation 部署。如果您使用外部 vRealize Orchestrator 实例,请参见更新外部 vRealize Orchestrator 以信任 vRealize Automation 证书

注:

此过程会将租户和组身份验证重置为默认设置。如果您自定义了身份验证配置,请记下所做的更改,以便在完成此过程之后可以重新配置身份验证。

有关更新和替换 vRealize Orchestrator 证书的信息,请参见 vRealize Orchestrator 文档。

如果替换或更新了 vRealize Automation 证书,但没有完成该过程,则 vRealize Orchestrator 控制中心可能无法访问,并且在 vco-server 和 vco-configurator 日志文件中可能会显示错误。

如果 vRealize Orchestrator 配置为针对 vRealize Automation 以外的其他租户和组进行身份验证,则更新证书时也可能会出现问题。请参见https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2147612

过程

  1. 停止 vRealize Orchestrator 服务器和控制中心服务。
    service vco-server stop
    service vco-configurator stop
  2. 运行以下命令,重置 vRealize Orchestrator 身份验证提供程序。
    /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh reset-authentication
    ls -l /etc/vco/app-server/
    mv /etc/vco/app-server/vco-registration-id /etc/vco/app-server/vco-registration-id.old
    vcac-vami vco-service-reconfigure
  3. 使用命令行界面实用程序(位于 /var/lib/vco/tools/configuration-cli/bin)并运行以下命令,检查 vRealize Orchestrator 信任存储中的受信任证书:
    /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh list-trust
    • 检查具有以下别名的证书:vco.cafe.component-registry.ssl.certificate。此证书应是 vRealize Orchestrator 实例用作身份验证提供程序的 vRealize Automation 证书。

    • 此证书必须与新配置的 vRealize Automation 证书相匹配。如果不匹配,可以按如下方式进行更改

      1. 将您的 vRealize Automation 签名设备证书 PEM 文件复制到设备上的 /tmp 文件夹。

      2. 运行以下命令,添加相应的证书路径:

        ./vro-configure.sh trust --registry-certificate path-to-the-certificate-file-in-PEM-format

        请参见下面的示例命令:

        /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh trust --registry-certificate /tmp/certs/vra.pem

  4. 您可能需要运行以下命令以信任该证书:
    /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh trust --uri https://vra.domain.com
    
    /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh trust --registry-certificate --uri https://vra.domain.com
  5. 使用以下命令,确保 vRealize Automation 证书现在已导入 vRealize Orchestrator 信任存储:
    /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh list-trust
  6. 启动 vRealize Orchestrator 服务器和控制中心服务。
    service vco-server start
    service vco-configurator start