Durch Hinzufügen einer Systemeigenschaft können Sie den Algorithmus zur Validierung des Zertifikatpfads für Ihre vertrauenswürdigen Zertifikate aktivieren.

vRealize Orchestrator verwendet jetzt beim Arbeiten mit Zertifikaten für die Herstellung einer SSL- oder TLS-Verbindung mit einem Host einen erweiterten Public Key Infrastructure X.509-Zertifizierungspfad (PKIX-Zertifizierungspfad). vRealize Orchestrator muss unterbrechungsfrei funktionieren, wenn eine Verbindung mit einem Host mit einem aktualisierten Zertifikat hergestellt wird, das von einer vertrauenswürdigen Zertifizierungsstelle (Certificate Authority, CA) ausgestellt wurde, die im Trust Store von vRealize Orchestrator enthalten ist.

Wenn das Subjektzertifikat oder einige der Zwischenzertifikate erneuert werden, trifft der Algorithmus eine informierte Vertrauensentscheidung darüber, ob er einem Zertifikat vertrauen kann, das noch nicht explizit als vertrauenswürdig eingestuft wurde.

Hinweis: Durch die Aktivierung der Systemeigenschaft com.vmware.o11n.certPathValidator erfolgt eine strengere Zertifikatvalidierung gemäß RFC5280. Nach dem Aktivieren des Zertifikatvalidierungsalgorithmus schlagen einige Workflows, die einem Host mit einem vertrauenswürdigen, aber veralteten Zertifikat zugeordnet sind, fehl, bis das Zertifikatproblem durch die Erneuerung des jeweiligen Hosts zur Verwendung eines gültigen und aktuellen Zertifikats und durch das erneute Hinzufügen des Zertifikats zum Trust Store von vRealize Orchestrator behoben wurde.

Prozedur

  1. Melden Sie sich beim Control Center als root an.
  2. Wählen Sie Eigenschaften des Systems aus und klicken Sie auf Neu.
  3. Geben Sie im Textfeld Schlüssel die Zeichenfolge com.vmware.o11n.certPathValidator ein.
  4. Geben Sie im Textfeld Wert den Wert true ein.
  5. (Optional) Fügen Sie eine Beschreibung für die Systemeigenschaft hinzu.
  6. Klicken Sie auf Hinzufügen.
    Daraufhin wird ein Popup-Fenster angezeigt.
  7. Klicken Sie im Popup-Fenster auf Änderungen speichern, um das Hinzufügen der neuen Systemeigenschaft abzuschließen.
  8. Warten Sie, bis der Server automatisch neu gestartet wird, damit die Änderungen übernommen werden.

Ergebnisse

Der Zertifikatvalidierungsalgorithmus ist jetzt aktiviert. Weitere Informationen zum Verwalten von vRealize Orchestrator-Zertifikaten finden Sie unter Verwalten von vRealize Orchestrator-Zertifikaten.

Nächste Maßnahme

Wenn Ihre vRealize Orchestrator-Bereitstellung vSphere als Authentifizierungsanbieter verwendet und Sie das vCenter-Zertifikat ändern, müssen Sie den vRealize Orchestrator-Pod neu starten, damit die Umgebung das neue Zertifikat verwenden kann. Gehen Sie wie folgt vor, um Ihren Pod neu zu starten:

  1. Melden Sie sich bei der vRealize Orchestrator Appliance als root an.
  2. Führen Sie die folgenden Befehle aus:
    kubectl -n prelude scale deployment vco-app --replicas=0
kubectl -n prelude scale deployment vco-app --replicas=1
    Hinweis: Ersetzen Sie bei geclusterten vRealize Orchestrator-Bereitstellungen den zweiten Befehl durch Folgendes: 
    kubectl -n prelude scale deployment vco-app --replicas=3