Aggiungendo una proprietà di sistema, è possibile attivare l'algoritmo di convalida del percorso del certificato per i certificati attendibili.

Automation Orchestrator utilizza un percorso di certificazione X.509 (PKIX) dell'infrastruttura a chiave pubblica avanzata quando si utilizzano certificati per stabilire una connessione SSL o TLS con un host. Automation Orchestrator dovrà funzionare senza interruzioni quando si stabilisce una connessione con un host con un certificato aggiornato emesso da un'autorità di certificazione (CA) attendibile inclusa nell'archivio di attendibilità di Automation Orchestrator.

Se il certificato dell'oggetto o alcuni dei certificati intermedi vengono rinnovati, l'algoritmo prende una decisione di attendibilità in merito alla possibilità o meno di considerare attendibile qualsiasi certificato che non sia già esplicitamente attendibile.

Nota: L'attivazione della proprietà di sistema com.vmware.o11n.certPathValidator rende la convalida del certificato ancora più rigida e ne determina l'esecuzione in base a RFC5280. Dopo l'attivazione dell'algoritmo di convalida del certificato, alcuni workflow associati a un host con un certificato attendibile ma obsoleto iniziano a non riuscire. Per risolvere questo problema relativo al certificato, rinnovare l'host specifico in modo che utilizzi un certificato valido e aggiornato e aggiungerlo nuovamente all'archivio di attendibilità di Automation Orchestrator.

Procedura

  1. Accedere al Centro di controllo come root.
  2. Selezionare Proprietà di sistema e fare clic su Nuovo.
  3. Nella casella di testo Chiave, immettere com.vmware.o11n.certPathValidator.
  4. Nella casella di testo Valore, immettere true.
  5. (Facoltativo) Aggiungere una descrizione per la proprietà di sistema.
  6. Fare clic su Aggiungi.
    Verrà visualizzata una finestra pop-up.
  7. Per completare l'aggiunta della nuova proprietà di sistema, fare clic su Salva modifiche dalla finestra pop-up.
  8. Per rendere effettive le modifiche, attendere che il server venga riavviato automaticamente.

risultati

L'algoritmo di convalida del certificato è ora attivo. Per ulteriori informazioni sulla gestione dei certificati Automation Orchestrator, vedere Gestire i certificati di Automation Orchestrator.

Operazioni successive

Se la distribuzione di Automation Orchestrator utilizza vSphere come provider di autenticazione e si modifica il certificato vCenter, è necessario riavviare il pod di Automation Orchestrator in modo che l'ambiente possa utilizzare il nuovo certificato. Per riavviare il pod, attenersi alla seguente procedura:

  1. Accedere a Automation Orchestrator Appliance come utente root.
  2. Eseguire i seguenti comandi:
    kubectl -n prelude scale deployment vco-app --replicas=0
    kubectl -n prelude scale deployment vco-app --replicas=1 
    Nota: Per distribuzioni in cluster di Automation Orchestrator, sostituire il secondo comando con il seguente:
    kubectl -n prelude scale deployment vco-app --replicas=3