vRealize Automation utilizza certificati per gestire le relazioni basate sulla fiducia e fornire una comunicazione sicura tra i componenti in distribuzioni distribuite.

In una distribuzione distribuita, o in cluster, l'organizzazione di certificazione segue in gran parte l'architettura di vRealize Automation in tre livelli.

  • Appliance vRealize Automation
  • Componenti Web di IaaS
  • Componenti del servizio di gestione di IaaS

In una distribuzione distribuita, ogni macchina in un determinato livello condivide un certificato. Ad esempio, ogni appliance vRealize Automation condivide un certificato comune e ogni host del servizio di gestione condivide un certificato comune.

Quando i componenti Web e del servizio di gestione sono ospitati nella stessa macchina, un certificato è sufficiente per entrambi i livelli.

Certificati generati dal sistema

A partire dalla versione 7.0, se non si forniscono i propri certificati, l'installazione guidata di vRealize Automation può generare automaticamente certificati autofirmati e posizionarli negli archivi attendibili appropriati nei componenti distribuiti che li richiedono.

Se è necessario aggiornare i certificati autofirmati generati dal sistema con certificati forniti dall'utente o dall'autorità di certificazione, vedere Gestione di vRealize Automation.

Utilizzo dei propri certificati

Quando si esegue il programma di installazione manuale standard, si forniscono i propri certificati autofirmati generati o i certificati dell'autorità di certificazione (CA).

Quando si forniscono o si generano i propri certificati utilizzando OpenSSL o un altro metodo, è possibile usare certificati con carattere jolly o SAN (Subject Alternative Name).

I certificati IaaS devono essere certificati multiuso. Quando si forniscono certificati, è necessario ottenere un certificato multiuso che includa i componenti IaaS nel cluster, quindi copiare tale certificato nell'archivio attendibile per ciascun componente.

Bilanciamento del carico

Per la disponibilità elevata e il failover, è possibile aggiungere bilanciamenti del carico davanti ai componenti distribuiti di vRealize Automation. VMware consiglia una configurazione pass-through per i bilanciamenti del carico di vRealize Automation. In una configurazione pass-through, i bilanciamenti del carico passano le richieste ai componenti senza decrittografia. Le appliance vRealize Automation e gli host IaaS eseguono quindi la decrittografia necessaria.

Se si utilizzano i bilanciamenti del carico, nell'indirizzo attendibile dei certificati multiuso del cluster è necessario includere il nome di dominio completo (FQDN) del bilanciamento del carico.

Per ulteriori informazioni sull'uso e la configurazione dei bilanciamenti del carico, vedere Bilanciamento del carico di vRealize Automation.

Requisiti di attendibilità dei certificati

La tabella seguente riepiloga i requisiti di registrazione attendibile per i diversi certificati importati.

Importazione Registrazione
Cluster appliance vRealize Automation Cluster componenti Web IaaS
Cluster componente Web IaaS
  • Cluster appliance vRealize Automation
  • Cluster componente del servizio di gestione
  • Componenti di DEM Orchestrator e DEM Worker
Cluster componente del servizio di gestione di IaaS
  • Componenti di DEM Orchestrator e DEM Worker
  • Agenti e agenti proxy

Attendibilità dei certificati e programma di installazione standard

Ogni volta che si esegue o si riesegue il programma di installazione manuale standard per creare componenti IaaS, è necessario configurare l'attendibilità dei certificati in tali componenti IaaS. Ad esempio, è possibile utilizzare il programma di installazione standard per eseguire la scalabilità orizzontale di una distribuzione esistente.

  • Host del servizio di gestione e Web di IaaS

    Importare i file web.pfx e ms.pfx nelle seguenti posizioni.

    Host Computer/Certificates/Personal certificate store
    Host Computer/Certificates/Trusted People certificate store
  • Host di DEM Orchestrator, DEM Worker e agente proxy di IaaS

    Importare i file web.pfx e ms.pfx nelle seguenti posizioni.

    Host Computer/Certificates/Trusted People certificate store

Nell'archivio certificati Persone attendibili, non è necessario importare la chiave privata insieme al certificato. Il processo di installazione automatica installa solo il certificato nell'archivio certificati Persone attendibili.