Sie können die Orchestrator-Zertifikate über die Seite Zertifikate in Control Center oder über den Orchestrator-Client verwalten, indem Sie die Workflows für SSL-Trust-Manager aus der Workflowkategorie „Konfiguration“ verwenden.

Importieren eines Zertifikats in den Orchestrator Trust Store

Control Center nutzt eine sichere Verbindung für die Kommunikation mit vCenter Server, dem Verwaltungssystem für relationale Datenbanken (RDBMS), LDAP, Single Sign-On und anderen Servern. Sie können das erforderliche SSL-Zertifikat über eine URL oder eine PEM-kodierte Datei importieren. Sie müssen jedes Mal, wenn Sie eine SSL-Verbindung zu einer Serverinstanz verwenden möchten, zuerst das entsprechende Zertifikat über die Registerkarte Vertrauenswürdige Zertifikate auf der Seite Zertifikate und dann das entsprechende SSL-Zertifikat importieren.

Sie können das SSL-Zertifikat in Orchestrator von einer URL-Adresse oder aus einer PEM-kodierten Datei laden.

Option

Beschreibung

Aus URL oder Proxy-URL importieren

Die URL des Remoteservers:

https://IP-Adresse_Ihres_Servers oder IP-Adresse:Port_Ihres_Servers

Aus Datei importieren

Pfad zur PEM-kodierten Zertifikatsdatei.

Weitere Informationen zum Importieren einer PEM-kodierten Zertifikatsdatei finden Sie unter Importieren eines vertrauenswürdigen Zertifikats über Control Center.

Erstellen eines selbstsignierten Zertifikats

In der Orchestrator Appliance ist eine selbstsigniertes Zertifikat enthalten, das automatisch anhand der Netzwerkeinstellungen der Appliance generiert wird. Bei Änderungen an den Netzwerkeinstellungen der Appliance müssen Sie manuell ein neues selbstsigniertes Zertifikat erstellen. Indem Sie ein selbstsigniertes Zertifikat erstellen, können Sie eine verschlüsselte Kommunikation gewährleisten und eine Signatur für Ihre Pakete bereitstellen. Für den Empfänger ist jedoch nicht mit Sicherheit erkennbar, ob das selbstsignierte Paket wirklich von Ihrem Server und nicht von einem Dritten ausgegeben wurde, der vorgibt, Sie zu sein. Um die Identität Ihres Servers nachzuweisen, verwenden Sie ein von einer Zertifizierungsstelle signiertes Zertifikat.

Ein selbstsigniertes Zertifikat können Sie auf der Registerkarte Orchestrator-Server-SSL-Zertifikat auf der Seite Zertifikate in Control Center erstellen.

Option

Beschreibung

Signaturalgorithmus

Verschlüsselungsalgorithmus zum Generieren einer digitalen Signatur.

Allgemeiner Name

Hostname des Orchestrator-Servers.

Organisation

Name Ihrer Organisation. Beispiel: VMware.

Organisationseinheit

Name Ihrer Organisationseinheit. Beispiel: Forschung und Entwicklung.

Ländercode

Abkürzung des Ländercodes. Beispiel: US.

Orchestrator generiert ein für Ihre Umgebung eindeutiges Serverzertifikat. Die Details für den öffentlichen Schlüssel des Zertifikats werden auf der Registerkarte Orchestrator-Server-SSL-Zertifikat angezeigt. Der private Schlüssel wird in der vmo_keystore-Tabelle der Orchestrator-Datenbank gespeichert.

Importieren eines Orchestrator-Server-SSL-Zertifikats

vRealize Orchestrator nutzt ein SSL-Zertifikat, um sich während der sicheren Kommunikation für Clients und Remoteserver auszuweisen. In Orchestrator ist standardmäßig ein selbstsigniertes SSL-Zertifikat enthalten, das automatisch anhand der Netzwerkeinstellungen der Appliance generiert wird. Um Fehler im Zusammenhang mit der Vertrauenswürdigkeit des Zertifikats zu vermeiden, können Sie ein von einer Zertifizierungsstelle signiertes SSL-Zertifikat importieren.

Sie müssen das von einer Zertifizierungsstelle signierte Zertifikat als PEM-kodierte Datei importieren, die den öffentlichen und den privaten Schlüssel enthält.

Paketsignaturzertifikat

Pakete, die aus einem Orchestrator-Server exportiert werden, werden digital signiert. Sie können ein Zertifikat zum Signieren von Paketen importieren, exportieren oder neu generieren. Paketsignaturzertifikate sind eine Form digitaler Identifikation, die die verschlüsselte Kommunikation sowie eine Signatur für Ihre Orchestrator-Pakete garantiert.

In der Orchestrator Appliance ist ein Paketsignaturzertifikat enthalten, das automatisch anhand der Netzwerkeinstellungen der Appliance generiert wird. Bei Änderungen an den Netzwerkeinstellungen der Appliance müssen Sie manuell ein neues Paketsignaturzertifikat erstellen.

Anmerkung:

In der Orchestrator Appliance ist ein selbstsigniertes Paketsignaturzertifikat enthalten, das automatisch bei der anfänglichen Konfiguration von Orchestrator generiert wird. Sie können das Paketsignaturzertifikat ändern. Danach werden alle Pakete, die Sie in Zukunft senden, mit dem neuen Zertifikat signiert.