L'amministratore di sistema può aggiornare o sostituire certificati per i componenti di vRealize Automation.

vRealize Automation contiene tre componenti principali che utilizzano certificati SSL per la protezione delle comunicazioni reciproche. I componenti sono i seguenti:
  • Appliance vRealize Automation
  • Componente sito Web di IaaS
  • Componente servizio di gestione di IaaS

In aggiunta, la distribuzione può avere certificati per il sito di gestione di Appliance vRealize Automation. Ogni macchina IaaS esegue inoltre un agente di gestione che utilizza un certificato.

Nota: vRealize Automation utilizza diversi prodotti di terze parti, come ad esempio Rabbit MQ, per supportare varie funzionalità. Alcuni di questi prodotti utilizzano i propri certificati autofirmati che persistono anche se i certificati primari di vRealize Automation vengono sostituiti con certificati forniti da un'autorità di certificazione. A causa di tale situazione, gli utenti non possono controllare effettivamente l'uso del certificato su porte specifiche, come ad esempio la 5671 che viene utilizzata da RabbitMQ per le comunicazioni interne.

Con un'unica eccezione, i cambiamenti che avvengono sui componenti successivi nell'elenco non influenzano quelli precedenti. L'eccezione è che un certificato aggiornato per componenti di IaaS deve essere registrato con l'appliance vRealize Automation.

In genere, i certificati autofirmati vengono generati e applicati a questi componenti durante l'installazione del prodotto. Potrebbe essere necessario sostituire un certificato per passare da certificati autofirmati a certificati forniti da un'autorità di certificazione o in occasione della scadenza di un certificato. Quando si sostituisce un certificato per un componente di vRealize Automation, le relazioni basate sulla fiducia per altri componenti di vRealize Automation vengono aggiornate automaticamente.

Ad esempio, in un sistema distribuito con istanze multiple di una Appliance vRealize Automation, se si aggiorna un certificato per una Appliance vRealize Automation, tutti gli altri certificati correlati vengono aggiornati automaticamente.

Nota: vRealize Automation supporta certificati SHA2. I certificati autofirmati generati dal sistema utilizzano il protocollo SHA-256 con crittografia RSA. I requisiti di sistema operativo o browser possono richiedere l'aggiornamento a certificati SHA2.
La console di gestione dell'appliance virtuale vRealize Automation offre tre opzioni per aggiornare o sostituire i certificati per le distribuzioni esistenti:
  • Genera certificato - Utilizzare questa opzione per lasciare al sistema il compito di generare un certificato autofirmato.
  • Importa certificato - Utilizzare questa opzione se si possiede già il certificato da utilizzare.
  • Fornisci identificazione personale certificato - Utilizzare questa opzione se si desidera fornire un'identificazione personale del certificato per usare un certificato già distribuito nell'archivio certificati dei server IaaS. Se si utilizza questa opzione, il certificato non verrà trasmesso dall'appliance virtuale ai server IaaS. L'opzione consente agli utenti di distribuire certificati esistenti in server IaaS senza caricarli nella console di gestione di vRealize Automation.

Inoltre, è possibile selezionare l'opzione Mantieni esistente per conservare il certificato esistente.

Nota: In una distribuzione in cluster, è necessario avviare le modifiche al certificato dall'interfaccia di gestione dell'appliance virtuale sul nodo principale.

I certificati per il sito di gestione dell'appliance vRealize Automation non hanno requisiti di registrazione.

Nota: Se il certificato utilizza una passphrase per la crittografia e questa non viene inserita all'atto della sostituzione del certificato sull'appliance virtuale, la sostituzione del certificato non viene eseguita e compare il messaggio Unable to load private key.
Il componente vRealize Orchestrator associato alla distribuzione vRealize Automation ha certificati propri e inoltre deve considerare attendibili i certificati vRealize Automation. Per impostazione predefinita, il componente vRealize Orchestrator è incorporato in vRealize Automation, ma è possibile decidere di utilizzare un vRealize Orchestrator esterno. In entrambi i casi, consultare la documentazione di vRealize Orchestrator per informazioni sull'aggiornamento dei certificati vRealize Orchestrator. Se si aggiornano o sostituiscono certificati vRealize Automation, è necessario aggiornare vRealize Orchestrator in modo che consideri attendibili i nuovi certificati.
Nota: Se si utilizza una distribuzione di vRealize Orchestrator multinodo che si trova dietro un bilanciamento del carico, tutti i nodi di vRealize Orchestrator devono utilizzare lo stesso certificato.

Per informazioni importanti su risoluzione dei problemi, supporto e requisiti di attendibilità, vedere l'articolo della knowledgebase di VMware all'indirizzo http://kb.vmware.com/kb/2106583.