Sie können die Orchestrator-Zertifikate über die Seite Zertifikate in Control Center oder über den Orchestrator-Client verwalten, indem Sie die Workflows für SSL-Trust-Manager aus der Workflowkategorie „Konfiguration“ verwenden.

Importieren eines Zertifikats in den Orchestrator Trust Store

Control Center nutzt eine sichere Verbindung für die Kommunikation mit vCenter Server, dem Verwaltungssystem für relationale Datenbanken (RDBMS), LDAP, Single Sign-On und anderen Servern. Sie können das erforderliche SSL-Zertifikat über eine URL oder eine PEM-kodierte Datei importieren. Sie müssen jedes Mal, wenn Sie eine SSL-Verbindung zu einer Serverinstanz verwenden möchten, zuerst das entsprechende Zertifikat über die Registerkarte Vertrauenswürdige Zertifikate auf der Seite Zertifikate und dann das entsprechende SSL-Zertifikat importieren.

Sie können das SSL-Zertifikat in Orchestrator von einer URL-Adresse oder aus einer PEM-kodierten Datei laden.
Option Beschreibung
Aus URL oder Proxy-URL importieren

Die URL des Remoteservers:

https://IP-Adresse_Ihres_Servers oder IP-Adresse:Port_Ihres_Servers

Aus Datei importieren

Pfad zur PEM-kodierten Zertifikatsdatei.

Weitere Informationen zum Importieren einer PEM-kodierten Zertifikatsdatei finden Sie unter Importieren eines vertrauenswürdigen Zertifikats über Control Center.

Erstellen eines selbstsignierten Zertifikats

In der Orchestrator Appliance ist eine selbstsigniertes Zertifikat enthalten, das automatisch anhand der Netzwerkeinstellungen der Appliance generiert wird. Bei Änderungen an den Netzwerkeinstellungen der Appliance müssen Sie manuell ein neues selbstsigniertes Zertifikat erstellen. Indem Sie ein selbstsigniertes Zertifikat erstellen, können Sie eine verschlüsselte Kommunikation gewährleisten und eine Signatur für Ihre Pakete bereitstellen. Für den Empfänger ist jedoch nicht mit Sicherheit erkennbar, ob das selbstsignierte Paket wirklich von Ihrem Server und nicht von einem Dritten ausgegeben wurde, der vorgibt, Sie zu sein. Um die Identität Ihres Servers nachzuweisen, verwenden Sie ein von einer Zertifizierungsstelle signiertes Zertifikat.

Ein selbstsigniertes Zertifikat können Sie auf der Registerkarte Orchestrator-Server-SSL-Zertifikat auf der Seite Zertifikate in Control Center erstellen.
Option Beschreibung
Signaturalgorithmus Verschlüsselungsalgorithmus zum Generieren einer digitalen Signatur.
Allgemeiner Name Hostname des Orchestrator-Servers.
Organisation Name Ihrer Organisation. Beispiel: VMware.
Organisationseinheit Name Ihrer Organisationseinheit. Beispiel: Forschung und Entwicklung.
Ländercode Abkürzung des Ländercodes. Beispiel: US.

Orchestrator generiert ein für Ihre Umgebung eindeutiges Serverzertifikat. Die Details für den öffentlichen Schlüssel des Zertifikats werden auf der Registerkarte Orchestrator-Server-SSL-Zertifikat angezeigt. Der private Schlüssel wird in der vmo_keystore-Tabelle der Orchestrator-Datenbank gespeichert.

Importieren eines Orchestrator-Server-SSL-Zertifikats

vRealize Orchestrator nutzt ein SSL-Zertifikat, um sich während der sicheren Kommunikation für Clients und Remoteserver auszuweisen. In Orchestrator ist standardmäßig ein selbstsigniertes SSL-Zertifikat enthalten, das automatisch anhand der Netzwerkeinstellungen der Appliance generiert wird. Um Fehler im Zusammenhang mit der Vertrauenswürdigkeit des Zertifikats zu vermeiden, können Sie ein von einer Zertifizierungsstelle signiertes SSL-Zertifikat importieren.

Sie müssen das von einer Zertifizierungsstelle signierte Zertifikat als PEM-kodierte Datei importieren, die den öffentlichen und den privaten Schlüssel enthält.

Hinweis: Aktualisieren Sie nach dem Generieren oder Importieren eines SSL-Serverzertifikats die Registerkarte Orchestrator-Server-SSL-Zertifikat, um die Details des neuen Zertifikats anzuzeigen. Sie müssen auch den Orchestrator-Konfiguratordienst neu starten.
service vco-configurator restart

Paketsignaturzertifikat

Pakete, die aus einem Orchestrator-Server exportiert werden, werden digital signiert. Sie können ein Zertifikat zum Signieren von Paketen importieren, exportieren oder neu generieren. Paketsignaturzertifikate sind eine Form digitaler Identifikation, die die verschlüsselte Kommunikation sowie eine Signatur für Ihre Orchestrator-Pakete garantiert.

In der Orchestrator Appliance ist ein Paketsignaturzertifikat enthalten, das automatisch anhand der Netzwerkeinstellungen der Appliance generiert wird. Bei Änderungen an den Netzwerkeinstellungen der Appliance müssen Sie manuell ein neues Paketsignaturzertifikat erstellen.

Hinweis: In der Orchestrator Appliance ist ein selbstsigniertes Paketsignaturzertifikat enthalten, das automatisch bei der anfänglichen Konfiguration von Orchestrator generiert wird. Sie können das Paketsignaturzertifikat ändern. Danach werden alle Pakete, die Sie in Zukunft senden, mit dem neuen Zertifikat signiert.