Ein Systemadministrator kann ein abgelaufenes Zertifikat oder ein selbstsigniertes Zertifikat mit einem Zertifikat von einer Zertifizierungsstelle ersetzen, um die Sicherheit in einer Umgebung mit einer verteilten Bereitstellung sicherzustellen.

Warum und wann dieser Vorgang ausgeführt wird

Sie können ein Zertifikat mit einem alternativen Antragstellernamen auf mehreren Maschinen verwenden. Die für die IaaS-Komponenten (Website und Manager Service) verwendeten Zertifikate müssen mit SAN-Werten (einschließlich FQDNs) aller Windows-Hosts ausgestellt werden, auf denen die entsprechende Komponente mit der Lastausgleichs-FQDN für dieselbe Komponente installiert ist.

Der IaaS-Manager Service und der IaaS-Webdienst verwenden ein einzelnes Zertifikat gemeinsam.

Prozedur

  1. Öffnen Sie in einem Webbrowser die URL für die Verwaltungsschnittstelle der vRealize Automation-Appliance.
  2. Melden Sie sich mit dem Benutzernamen root und dem Kennwort an, das Sie bei der Bereitstellung der vRealize Automation-Appliance angegeben haben.
  3. Wählen Sie vRA-Einstellungen > Zertifikate aus.
  4. Klicken Sie im Menü Zertifikatstyp auf Manager Service.
  5. Wählen Sie aus dem Menü Zertifikatsaktion den Zertifikatstyp aus.

    Wenn Sie ein PEM-verschlüsseltes Zertifikat verwenden, beispielsweise für eine verteilte Umgebung, wählen Sie Importieren aus.

    Zu importierende Zertifikate müssen vertrauenswürdig sein und außerdem auf alle Instanzen der vRealize Automation-Appliance und auf jeden Lastausgleichsdienst durch die Verwendung von Zertifikaten mit einem alternativen Antragstellernamen anwendbar sein.

    Anmerkung:

    Wenn Sie Zertifikatsketten verwenden, geben Sie die Zertifikate in der folgenden Reihenfolge an:

    1. Von der Zwischenzertifizierungsstelle signiertes Client-/Serverzertifikat

    2. Ein oder mehrere Zwischenzertifikate

    3. Zertifizierungsstellen-Stammzertifikat

    Option

    Beschreibung

    Vorhandene beibehalten

    Behalten Sie die aktuelle SSL-Konfiguration bei. Wählen Sie diese Option aus, um Ihre Änderungen zu verwerfen.

    Zertifikat generieren

    1. Der im Textfeld Allgemeiner Name angezeigte Wert ist der Hostname, wie er im oberen Teil der Seite angezeigt wird. Wenn zusätzliche Instanzen der vRealize Automation-Appliance verfügbar sind, werden ihre FQDNs dem SAN-Attribut des Zertifikats hinzugefügt.

    2. Geben Sie den Namen Ihrer Organisation, wie z. B. den Unternehmensnamen, in das Textfeld Organisation ein.

    3. Geben Sie Ihre Organisationseinheit, wie z. B. den Namen oder den Standort Ihrer Abteilung, in das Textfeld Organisationseinheit ein.

    4. Geben Sie eine zweistellige Landeskennzahl nach ISO 3166 wie z. B. DE in das Textfeld Land ein.

    Importieren

    1. Kopieren Sie die Zertifikatwerte von BEGIN PRIVATE KEY zu END PRIVATE KEY, einschließlich der Kopfzeile und der Fußzeile, und fügen Sie sie in das Textfeld RSA-Privatschlüssel ein.

    2. Kopieren Sie die Zertifikatwerte von BEGIN CERTIFICATE zu END CERTIFICATE, einschließlich der Kopfzeile und der Fußzeile, und fügen Sie sie in das Textfeld Zertifikatskette ein. Fügen Sie für mehrere Zertifikatwerte eine BEGIN CERTIFICATE-Kopfzeile und eine END CERTIFICATE-Fußzeile für jedes Zertifikat hinzu.

      Anmerkung:

      Im Fall von verketteten Zertifikaten sind möglicherweise zusätzliche Attribute verfügbar.

    3. (Optional) Wenn das Zertifikat eine Passphrase zum Verschlüsseln des Zertifikatschlüssels verwendet, kopieren Sie die Passphrase und fügen Sie sie in das Textfeld Passphrase ein.

    Fingerabdruck des Zertifikats bereitstellen

    Verwenden Sie diese Option, wenn Sie einen Fingerabdruck eines Zertifikats bereitstellen möchten, das im Zertifikatspeicher auf den IaaS-Servern bereits verwendet wird. Bei Verwendung dieser Option wird das Zertifikat nicht von der virtuellen Appliance an die IaaS-Server übertragen. Mit dieser Option können Benutzer vorhandene Zertifikate auf IaaS-Servern bereitstellen, ohne sie auf die Verwaltungsschnittstelle hochladen zu müssen.

  6. Klicken Sie auf Einstellungen speichern.

    Nach einigen Minuten werden die Zertifikatdetails auf der Seite angezeigt.

  7. Kopieren Sie das importierte oder neu erstellte Zertifikat in den Lastausgleichsdienst, wenn dies vom Netzwerk oder dem Lastausgleichsdienst gefordert wird.
  8. Öffnen Sie einen Browser und navigieren Sie zu https://managerServiceAdddress/vmpsProvision/ über einen Server, der einen DEM-Worker oder -Agent ausführt.

    Wenn Sie einen Lastausgleichsdienst verwenden, muss der Hostname der vollqualifizierte Domänenname des Lastausgleichsdiensts sein.

  9. Ignorieren Sie ggf. etwaige Zertifikatswarnungen.
  10. Stellen Sie sicher, dass das neue Zertifikat bereitgestellt und vertrauenswürdig ist.
  11. Wenn Sie einen Lastausgleichsdienst verwenden, konfigurieren Sie alle anwendbaren Integritätsprüfungen und aktivieren Sie sie.