Un certificat autosigné est généré lors de la première installation du service Broker Agent. Le service Broker Agent utilise ce certificat par défaut pour s'authentifier auprès de l'adaptateur View. Vous pouvez remplacer le certificat auto-signé par un certificat qui est signé par une autorité de certification valide.
Conditions préalables
- Vérifiez que vous pouvez vous connecter à l'hôte du Serveur de connexion View sur lequel le service Broker Agent est installé.
- Vérifiez que l'utilitaire keytool est ajouté au chemin d'accès du système sur l'hôte du Serveur de connexion View sur lequel le service Broker Agent est installé.
- Vérifiez que vous connaissez le mot de passe du magasin de certificats. Vous trouverez ce mot de passe dans le fichier msgserver.properties. Reportez-vous à Fichiers de magasin de certificats et d'approbations du service Broker Agent.
- Familiarisez-vous avec l'utilitaire Java keytool. La documentation est disponible à l'adresse http://docs.oracle.com.
Procédure
- Connectez-vous à l'hôte du Serveur de connexion View sur lequel le service Broker Agent est installé.
- Employez l'utilitaire keytool avec l'-selfcert pour générer un nouveau certificat autosigné.
Comme le certificat autosigné par défaut est émis à l'intention de VMware, vous devez générer un nouveau certificat autosigné avant de demander un certificat signé. Le certificat signé doit être émis à l'intention de votre organisation.
Par exemple :
keytool –selfcert –alias v4v-brokeragent –dname dn-of-org –keystore v4v-brokeragent.jks
dn-of-org est le nom unique de l'organisation à l'intention de laquelle le certificat est émis, par exemple, "OU=Plate-forme de gestion, O=VMware, Inc., C=US".
Par défaut, la signature du certificat utilise l'algorithme SHA1withRSA. Vous pouvez remplacer cette valeur par défaut en spécifiant le nom de l'algorithme dans l'utilitaire keytool.
- Employez l'utilitaire keytool avec l'option -certreq pour générer la demande de signature de certificat.
Une demande de signature de certificat est requise pour demander un certificat auprès d'une autorité de signature de certificat.
Par exemple :
keytool –certreq –alias v4v-brokeragent –file certificate-request-file -keystore v4v-brokeragent.jks
certificate-request-file est le nom du fichier qui contient la demande de signature de certificat.
- Téléchargez la demande de signature de certificat vers une autorité de certification et demandez un certificat signé.
Si l'autorité de certification demande un mot de passe pour la clé privée du certificat, utilisez le mot de passe configuré pour le magasin de certificats.
L'autorité de certification renvoie un certificat signé.
- Copiez le fichier de certificat dans le répertoire conf et exécutez l'utilitaire keytool avec l'option -import pour importer le certificat signé dans le magasin de certificats pour le service Broker Agent.
Vous devez importer le fichier de certificat dans le magasin de certificats afin que le service Broker Agent puisse commencer à utiliser le certificat signé.
Par exemple :
keytool –import –alias v4v-brokeragent –file certificate-filename -keystore v4v-brokeragent.jks
certificate-filename est le nom du fichier de certificat de l'autorité de certification.
- Exécutez l'utilitaire keytool avec l'option -import pour importer le certificat racine d'autorité de certification vers le fichier de magasin d'approbations pour le service Broker Agent.
Par exemple :
keytool -import -alias aliasname -file root_certificate -keystore v4v-truststore.jks -trustcacerts
root_certificate est le nom du certificat racine d'autorité de certification.
- Redémarrez le service Broker Agent pour commencer à utiliser le nouveau certificat.
Vous pouvez démarrer le service Broker Agent à l'aide de l'assistant des paramètres du service vRealize Operations Horizon Broker Agent, ou en redémarrant le service vRealize Operations Horizon Broker Agent.
Que faire ensuite
Après le redémarrage du service Broker Agent, vous devez l'associer à l'adaptateur View. Reportez-vous à Association de certificats.
