Der Systemadministrator kann ein selbstsigniertes Zertifikat mit einem vertrauenswürdigen Zertifikat von einer Zertifizierungsstelle aktualisieren oder ersetzen. Sie können Zertifikate mit alternativen Antragstellernamen (Subject Alternative Name, SAN), Platzhalterzertifikate oder eine sonstige für Ihre Umgebung geeignete Methode für die Mehrfachverwendungszertifizierung verwenden, vorausgesetzt, die Anforderungen im Hinblick auf die Vertrauenswürdigkeit sind erfüllt.

Warum und wann dieser Vorgang ausgeführt wird

Wenn Sie das vRealize Automation-Appliance-Zertifikat aktualisieren oder ersetzen, wird das Vertrauen zu anderen zugehörigen Komponenten automatisch erneut initiiert. Weitere Informationen zum Aktualisieren von Zertifikaten finden Sie unter Aktualisieren von vRealize Automation-Zertifikaten.

Prozedur

  1. Öffnen Sie in einem Webbrowser die URL für die Verwaltungsschnittstelle der vRealize Automation-Appliance.
  2. Melden Sie sich mit dem Benutzernamen root und dem Kennwort an, das Sie bei der Bereitstellung der vRealize Automation-Appliance angegeben haben.
  3. Wählen Sie vRA-Einstellungen > Hosteinstellungen aus.
  4. Wählen Sie aus dem Menü Zertifikatsaktion den Zertifikatstyp aus.

    Wenn Sie ein PEM-verschlüsseltes Zertifikat verwenden, beispielsweise für eine verteilte Umgebung, wählen Sie Importieren aus.

    Zu importierende Zertifikate müssen vertrauenswürdig sein und außerdem auf alle Instanzen der vRealize Automation-Appliance und auf jeden Lastausgleichsdienst durch die Verwendung von Zertifikaten mit einem alternativen Antragstellernamen anwendbar sein.

    Wenn Sie eine CSR-Anforderung für ein neues Zertifikat generieren möchten, um sie an eine Zertifizierungsstelle zu senden, wählen Sie Anforderung zur Zertifikatssignierung (CSR) erstellen aus. Eine CSR hilft der Zertifizierungsstelle dabei, ein Zertifikat mit den richtigen Werten zu erstellen, das Sie importieren können.

    Anmerkung:

    Wenn Sie Zertifikatsketten verwenden, geben Sie die Zertifikate in der folgenden Reihenfolge an:

    1. Von der Zwischenzertifizierungsstelle signiertes Client-/Serverzertifikat

    2. Ein oder mehrere Zwischenzertifikate

    3. Zertifizierungsstellen-Stammzertifikat

    Option

    Aktion

    Vorhandene beibehalten

    Behalten Sie die aktuelle SSL-Konfiguration bei. Wählen Sie diese Option zum Verwerfen der Änderungen.

    Zertifikat generieren

    1. Der im Textfeld Allgemeiner Name angezeigte Wert ist der Hostname, wie er im oberen Teil der Seite angezeigt wird. Wenn zusätzliche Instanzen der vRealize Automation-Appliance verfügbar sind, werden ihre FQDNs dem SAN-Attribut des Zertifikats hinzugefügt.

    2. Geben Sie den Namen Ihrer Organisation, wie z. B. den Unternehmensnamen, in das Textfeld Organisation ein.

    3. Geben Sie Ihre Organisationseinheit, wie z. B. den Namen oder den Standort Ihrer Abteilung, in das Textfeld Organisationseinheit ein.

    4. Geben Sie eine zweistellige Landeskennzahl nach ISO 3166 wie z. B. DE in das Textfeld Land ein.

    Anforderung zur Zertifikatssignierung (CSR) erstellen

    1. Wählen Sie Anforderung zur Zertifikatssignierung (CSR) erstellen aus.

    2. Überprüfen Sie die Einträge in den Textfeldern Organisation, Organisationseinheit, Landeskennzahl und Allgemeiner Name. Diese Einträge werden durch das vorhandene Zertifikat ausgefüllt. Sie können diese Einträge bei Bedarf bearbeiten.

    3. Klicken Sie auf CSR erstellen, um eine Anforderung zur Zertifikatssignierung zu erstellen. Klicken Sie anschließend auf den Link Erstellte CSR hier herunterladen. Es wird ein Dialogfeld geöffnet, über das Sie die CSR an einem bestimmten Ort speichern und anschließend an die Zertifizierungsstelle senden können.

    4. Wenn Sie das vorbereitete Zertifikat erhalten, klicken Sie auf Import und befolgen Sie die Anweisungen zum Importieren eines Zertifikats in vRealize Automation.

    Importieren

    1. Kopieren Sie die Zertifikatwerte von BEGIN PRIVATE KEY zu END PRIVATE KEY, einschließlich der Kopfzeile und der Fußzeile, und fügen Sie sie in das Textfeld RSA-Privatschlüssel ein.

    2. Kopieren Sie die Zertifikatwerte von BEGIN CERTIFICATE zu END CERTIFICATE, einschließlich der Kopfzeile und der Fußzeile, und fügen Sie sie in das Textfeld Zertifikatskette ein. Fügen Sie für mehrere Zertifikatwerte eine BEGIN CERTIFICATE-Kopfzeile und eine END CERTIFICATE-Fußzeile für jedes Zertifikat hinzu.

      Anmerkung:

      Im Fall von verketteten Zertifikaten sind möglicherweise zusätzliche Attribute verfügbar.

    3. (Optional) Wenn das Zertifikat eine Passphrase zum Verschlüsseln des Zertifikatschlüssels verwendet, kopieren Sie die Passphrase und fügen Sie sie in das Textfeld Passphrase ein.

  5. Klicken Sie auf Einstellungen speichern.

    Nach einigen Minuten werden die Zertifikatsdetails für alle anwendbaren Instanzen der vRealize Automation-Appliance auf der Seite angezeigt.

  6. Falls Ihr Netzwerk oder Lastausgleichsdienst dies erfordert, kopieren Sie das importierte oder neu erstellte Zertifikat in den Lastausgleichsdienst der virtuellen Appliance.

    Möglicherweise müssen Sie den Root-SSH-Zugriff aktivieren, um das Zertifikat zu exportieren.

    1. Falls Sie nicht bereits angemeldet sind, melden Sie sich bei der Managementkonsole der vRealize Automation-Appliance als Root-Benutzer an.
    2. Klicken Sie auf die Registerkarte Administrator.
    3. Klicken Sie auf das Untermenü Administrator.
    4. Aktivieren Sie das Kontrollkästchen SSH-Dienst aktiviert.

      Deaktivieren Sie das Kontrollkästchen, um SSH nach Abschluss des Vorgangs zu deaktivieren.

    5. Aktivieren Sie das Kontrollkästchen SSH-Anmeldung des Administrators.

      Deaktivieren Sie das Kontrollkästchen, um SSH nach Abschluss des Vorgangs zu deaktivieren.

    6. Klicken Sie auf Einstellungen speichern.
  7. Überprüfen Sie, ob Sie sich bei der vRealize Automation-Konsole anmelden können.
    1. Öffnen Sie einen Browser und navigieren Sie zu https://vcac-hostname.domain.name/vcac/.

      Wenn Sie einen Lastausgleichsdienst verwenden, muss der Hostname der vollqualifizierte Domänenname des Lastausgleichsdiensts sein.

    2. Ignorieren Sie ggf. etwaige Zertifikatswarnungen.
    3. Melden Sie sich mit administrator@vsphere.local und dem Kennwort an, das Sie beim Konfigurieren der Verzeichnisverwaltung angegeben haben.

      Die Konsole wird auf der Seite Mandanten auf der Registerkarte Administration geöffnet. Ein einzelner Mandant mit dem Namen vsphere.local wird in der Liste angezeigt.

  8. Wenn Sie einen Lastausgleichsdienst verwenden, konfigurieren Sie alle anwendbaren Integritätsprüfungen und aktivieren Sie sie.

Ergebnisse

Das Zertifikat wird aktualisiert.