系统管理员可以更新或替换 vRealize Automation 组件的证书。

vRealize Automation 包含三个使用 SSL 证书支持彼此之间安全通信的主要组件。这些组件如下:

  • vRealize Automation 设备

  • IaaS Website 组件

  • IaaS Manager Service 组件

此外,您的部署还可以具有 vRealize Automation 设备 管理站点的证书。同时,每个 IaaS 计算机都运行一个使用证书的管理代理。

注:

vRealize Automation 使用多个第三方产品(如 Rabbit MQ)来支持各种功能。其中某些产品使用自己的自签名证书,即使将主 vRealize Automation 证书替换为 CA 提供的证书也会保留这些自签名证书。由于此情况,用户无法有效地控制特定端口上的证书使用,如由 RabbitMQ 用于内部通信的 5671 端口。

但有一点例外,即:对此列表中后续组件所做的更改不影响之前的组件。例外情况是,经过更新的 IaaS 组件证书必须向 vRealize Automation 设备进行注册。

通常,系统会在产品安装期间生成自签名证书并将其应用于这些组件。在以下情况下,您可能需要替换证书:从自签名证书切换到由证书颁发机构提供的证书;或者证书过期。替换 vRealize Automation 组件的证书时,其他 vRealize Automation 组件的信任关系会自动更新。

例如,在具有多个 vRealize Automation 设备 实例的分布式系统中,如果您更新一个 vRealize Automation 设备 的证书,所有其他相关证书都会自动更新。

注:

vRealize Automation 支持 SHA2 证书。系统生成的自签名证书使用 SHA-256 With RSA 加密。您可能因操作系统或浏览器需求而更新为 SHA2 证书。

vRealize Automation 虚拟设备管理控制台提供三个用于更新或替换现有部署证书的选项:

  • 生成证书 - 使用此选项可以让系统生成自签名证书。

  • 导入证书 - 如果有要使用的证书,请使用此选项。

  • 提供证书指纹 - 如果您希望提供证书指纹以使用 IaaS 服务器上的证书存储中已部署的证书,请使用此选项。使用此选项不会将证书从虚拟设备传输到 IaaS 服务器。通过此选项,用户可以部署 IaaS 服务器上的现有证书,而不必在 vRealize Automation 管理控制台中上载。

此外,也可以选择保留现有选项来保留现有证书。

注:

在群集部署中,您必须从主节点上的虚拟设备管理界面启动证书更改。

vRealize Automation 设备管理站点的证书无需注册。

注:

如果证书使用密码短语进行加密,而且您在替换虚拟设备上的证书时无法输入该密码短语,则证书替换将会失败并显示消息Unable to load private key

vRealize Automation 部署关联的 vRealize Orchestrator 组件有自己的证书,它也必须信任 vRealize Automation 证书。默认情况下,vRealize Orchestrator 组件嵌入在 vRealize Automation 中,但您可以选择使用外部 vRealize Orchestrator。无论属于哪种情况,请参见 vRealize Orchestrator 文档,以了解有关更新 vRealize Orchestrator 证书的信息。如果您更新或替换 vRealize Automation 证书,必须更新 vRealize Orchestrator 以信任新证书。

注:

如果您在负载平衡器之后使用多节点 vRealize Orchestrator 部署,则所有 vRealize Orchestrator 节点必须使用相同的证书。

有关证书故障排除、可支持性和信任要求的重要信息,请参见 VMware 知识库文章:http://kb.vmware.com/kb/2106583