Die Installation der PEM-Datei für öffentliche Schlüssel für den vRealize Automation Manager Service-Host im richtigen Gast-Agent-Ordner stellt die sicherste Methode für die Konfiguration des Vertrauensverhältnisses zu einem Server für den Gast-Agent dar.

Suchen Sie den Gast-Agent-Ordner auf jeder Vorlage für die PEM-Datei cert.pem Vertrauensverhältnis zu einem Server für den Manager Service-Host.

  • Windows-Gast-Agent-Ordner auf jeder Vorlage, die die gugent-Befehlszeile verwendet

    C:\VRMGuestAgent\cert.pem
  • Linux-Gast-Agent-Ordner auf jeder Vorlage, die die gugent-Befehlszeile verwendet

    /usr/share/gugent/cert.pem

    Wenn Sie die Datei cert.pem nicht an diesem Speicherort ablegen, kann die Vorlagenreferenzmaschine den Gast-Agent nicht verwenden. Wenn Sie beispielsweise nach dem Starten der VM mit geänderten Skripts versuchen, Informationen zum öffentlichen Schlüssel zu sammeln, setzen Sie den Sicherheitszustand außer Kraft.

Anmerkung:

Alternativ dazu können Sie den Gast-Agent so konfigurieren, dass die vertrauenswürdige cert.pem-Datei bei erstmaliger Verwendung aufgefüllt wird. Diese Methode ist jedoch im Vergleich zur manuellen Installation der cert.pem-Datei auf jeder Vorlage unsicherer. Ziehen Sie diese Alternative in Betracht, wenn Sie eine einzelne Vorlage für mehrere Server verwenden. Um zuzulassen, dass der Gast-Agent dem ersten Server vertraut, zu dem er eine Verbindung herstellt, erstellen Sie eine Vorlage ohne die cert.pem-Datei im Windows-Verzeichnis VRMGuestAgent oder im Linux-Verzeichnis /usr/share/gugent. Der Gast-Agent füllt die cert.pem-Datei auf, wenn erstmalig eine Verbindung mit einem Server hergestellt wird.

Je nach konfigurierter Umgebung sind zudem diese Faktoren zu berücksichtigen:

  • Für WIM-Installationen müssen Sie die Inhalte der PEM-Datei für öffentliche Schlüssel zur ausführbaren Datei für die PEBuilder-Konsole und zur Benutzeroberfläche hinzufügen. Die Konsolenmarkierung lautet /cert filename.

  • Für RedHat kickstart-Installationen müssen Sie den öffentlichen Schlüssel ausschneiden und in die Beispieldatei einfügen. Andernfalls schlägt die Ausführung des Gast-Agent fehl.

  • Für SCCM-Installationen muss sich die cert.pem-Datei im Ordner VRMGuestAgent befinden.

  • Für Linux vSphere-Installationen muss sich die cert.pem-Datei im Ordner /usr/share/gugent befinden.

Anmerkung:

Wahlweise können Sie Software und Gast-Agents zusammen installieren, indem Sie das folgende Skript über https://APPLIANCE/software/index.html herunterladen. Mit diesem Skript können Sie die Akzeptanz von SSL-Zertifikat-Fingerprints verarbeiten, während Sie die Vorlagen erstellen.

  • Linux

    prepare_vra_template.sh

  • Windows

    prepare_vra_template.ps1

Wenn Sie die Software und den Gast-Agent zusammen installieren, müssen Sie die Anweisungen unter Installieren des Gast-Agents auf einer Linux-Referenzmaschine oder Installieren des Gast-Agents auf einer Windows-Referenzmaschine nicht befolgen.

Die Vorlage vertraut immer dem ersten System, mit dem eine Verbindung hergestellt wird. Aus Sicherheitsgründen sucht der Gast-Agent nicht nach einem Zertifikat, wenn eine cert.pem-Datei im VRMGuestAgent-Verzeichnis unter Windows oder im /usr/share/gugent-Verzeichnis unter Linux vorhanden ist. Wenn sich das Serverzertifikat ändert, müssen Sie die cert.pem-Datei aus dem VRMGuestAgent-Verzeichnis unter Windows oder dem /usr/share/gugent-Verzeichnis unter Linux entfernen. Der Gast-Agent installiert die neue cert.pem-Datei, wenn das nächste Mal eine Verbindung mit dem Server hergestellt wird.