您可以通过添加系统属性为受信任的证书启用证书路径验证算法。

现在,vRealize Orchestrator 在使用证书与主机建立 SSL 或 TLS 连接时,会使用增强型公用密钥基础架构 X.509 (PKIX) 证书路径。在与主机建立连接时,如果其受信任证书颁发机构 (CA) 颁发的更新证书包含在 vRealize Orchestrator 信任库中时,vRealize Orchestrator 必须不间断地工作。

如果续订了主体证书或部分中间证书,则该算法将针对是否可以信任任何尚未明确信任的证书做出明智的信任决定。

注: 启用 com.vmware.o11n.certPathValidator 系统属性会使证书验证更严格,并根据 RFC5280 进行验证。启用证书验证算法后,与具有受信任但已过期证书的主机关联的一些工作流将开始失败,直到通过续订特定主机以使用有效且最新的证书并将其重新添加到 vRealize Orchestrator 信任库来解决证书问题。

过程

  1. root 用户身份登录控制中心。
  2. 选择系统属性,然后单击新建
  3. 文本框中,输入 com.vmware.o11n.certPathValidator
  4. 文本框中,输入 true
  5. (可选) 添加对该系统属性的说明。
  6. 单击添加
    将显示一个弹出窗口。
  7. 要完成添加新的系统属性,请从弹出窗口中单击保存更改
  8. 等待服务器自动重新启动,以便应用更改。

结果

证书验证算法现已启用。有关管理 vRealize Orchestrator 证书的详细信息,请参见管理 vRealize Orchestrator 证书

下一步做什么

如果您的 vRealize Orchestrator 部署使用 vSphere 作为身份验证提供程序,并且更改了 vCenter 证书,则必须重新启动 vRealize Orchestrator Pod,以便环境可以使用新证书。要重新启动 Pod,请使用以下过程:

  1. root 用户身份登录到 vRealize Orchestrator Appliance
  2. 运行以下命令:
    kubectl -n prelude scale deployment vco-app --replicas=0
kubectl -n prelude scale deployment vco-app --replicas=1
    注: 对于集群 vRealize Orchestrator 部署,请将第二个命令替换为以下内容: 
    kubectl -n prelude scale deployment vco-app --replicas=3