Durch Hinzufügen einer Systemeigenschaft können Sie den Algorithmus zur Validierung des Zertifikatpfads für Ihre vertrauenswürdigen Zertifikate aktivieren.

Automation Orchestrator verwendet beim Arbeiten mit Zertifikaten für die Herstellung einer SSL- oder TLS-Verbindung mit einem Host einen erweiterten Public Key Infrastructure X.509-Zertifizierungspfad (PKIX-Zertifizierungspfad). Automation Orchestrator muss unterbrechungsfrei funktionieren, wenn eine Verbindung mit einem Host mit einem aktualisierten Zertifikat hergestellt wird, das von einer vertrauenswürdigen Zertifizierungsstelle (Certificate Authority, CA) ausgestellt wurde, die im Trust Store von Automation Orchestrator enthalten ist.

Wenn das Subjektzertifikat oder einige der Zwischenzertifikate erneuert werden, trifft der Algorithmus eine informierte Vertrauensentscheidung darüber, ob er einem Zertifikat vertrauen kann, das noch nicht explizit als vertrauenswürdig eingestuft wurde.

Hinweis: Durch die Aktivierung der Systemeigenschaft com.vmware.o11n.certPathValidator erfolgt eine strengere Zertifikatvalidierung gemäß RFC5280. Nach der Aktivierung des Zertifikatsvalidierungsalgorithmus schlagen einige Workflows, die mit einem Host mit einem vertrauenswürdigen, aber veralteten Zertifikat verbunden sind, fehl. Um dieses Zertifikatproblem zu beheben, erneuern Sie den spezifischen Host, um ein gültiges und aktuelles Zertifikat zu verwenden, und fügen Sie es erneut zum Automation Orchestrator Trust Store hinzu.

Prozedur

  1. Melden Sie sich beim Control Center als root an.
  2. Wählen Sie Eigenschaften des Systems aus und klicken Sie auf Neu.
  3. Geben Sie im Textfeld Schlüssel die Zeichenfolge com.vmware.o11n.certPathValidator ein.
  4. Geben Sie im Textfeld Wert den Wert true ein.
  5. (Optional) Fügen Sie eine Beschreibung für die Systemeigenschaft hinzu.
  6. Klicken Sie auf Hinzufügen.
    Daraufhin wird ein Popup-Fenster angezeigt.
  7. Klicken Sie im Popup-Fenster auf Änderungen speichern, um das Hinzufügen der neuen Systemeigenschaft abzuschließen.
  8. Warten Sie, bis der Server automatisch neu gestartet wird, damit die Änderungen übernommen werden.

Ergebnisse

Der Zertifikatvalidierungsalgorithmus ist jetzt aktiviert. Weitere Informationen zum Verwalten von Automation Orchestrator-Zertifikaten finden Sie unter Verwalten von Automation Orchestrator-Zertifikaten.

Nächste Maßnahme

Wenn Ihre Automation Orchestrator-Bereitstellung vSphere als Authentifizierungsanbieter verwendet und Sie das vCenter-Zertifikat ändern, müssen Sie den Automation Orchestrator-Pod neu starten, damit die Umgebung das neue Zertifikat verwenden kann. Gehen Sie wie folgt vor, um Ihren Pod neu zu starten:

  1. Melden Sie sich bei der Automation Orchestrator Appliance als root an.
  2. Führen Sie die folgenden Befehle aus:
    kubectl -n prelude scale deployment vco-app --replicas=0
    kubectl -n prelude scale deployment vco-app --replicas=1 
    Hinweis: Ersetzen Sie bei geclusterten Automation Orchestrator-Bereitstellungen den zweiten Befehl durch Folgendes:
    kubectl -n prelude scale deployment vco-app --replicas=3