Se si aggiorna o si modificano i certificati di Appliance vRealize Automation o IaaS, è necessario aggiornare vRealize Orchestrator modo che consideri attendibile i certificati nuovi o aggiornati.

Questa procedura si applica a tutte le distribuzioni vRealize Automation che utilizzano un'istanza di vRealize Orchestrator incorporata. Se si utilizza un'istanza di vRealize Orchestrator esterna, vedere Aggiornamento del vRealize Orchestrator esterno per considerare attendibili i certificati vRealize Automation.

Nota: La procedura reimposta l'autenticazione di tenant e gruppo alle impostazioni predefinite. Se la configurazione di autenticazione è stata personalizzata, prendere nota delle modifiche in modo da poterle riconfigurare dopo aver completato la procedura.

Consultare la documentazione di vRealize Orchestrator per informazioni sull'aggiornamento e la sostituzione dei certificati vRealize Orchestrator.

In una configurazione di cluster, è necessario completare questa procedura nel nodo dell'appliance vRealize Automation principale, quindi eseguire un join-cluster sull'elemento principale da ogni nodo dell'appliance vRealize Automation di replica.
Nota: In un cluster, arrestare il servizio vco-configurator su tutti i nodi di replica finché non viene completata la procedura per evitare la sincronizzazione automatica indesiderata di Control Center.

Se si sostituiscono o si aggiornano i certificati di vRealize Automation senza aver completato la procedura, è possibile che il Control Center di vRealize Orchestrator sia inaccessibile e che vengano visualizzati messaggi di errore nei file di registro vco-server e vco-configurator.

Possono verificarsi problemi con l'aggiornamento dei certificati anche se vRealize Orchestrator è configurato per l'autenticazione in un altro tenant e gruppo anziché vRealize Automation. Per informazioni, vedere l’articolo della Knowledge Base di VMware Catena di certificati non attendibili di eccezione dopo la sostituzione del certificato vRA (2147612).

Le sintassi del comando trust illustrate qui hanno uno scopo puramente rappresentativo e non sono definitive. Benché siano appropriate per la maggior parte delle distribuzioni tipiche, in alcune situazioni potrebbe essere necessario sperimentare comandi diversi.

  • Se si specifica --certificate, è necessario fornire il percorso di un file di certificato valido in formato PEM.
  • Se si specifica --uri, è necessario fornire l'URI da cui il comando può recuperare un certificato attendibile.
  • Specificando l'opzione --registry-certificate si indica che il certificato richiesto deve essere considerato come certificato per il registro componenti e il certificato attendibile viene aggiunto all'archivio di attendibilità con un alias specifico utilizzato dal certificato del registro componenti.

È anche possibile gestire i certificati utilizzando i workflow SSL Trust Manager in vRealize Orchestrator. Per informazioni, vedere l'argomento Gestione dei certificati di Orchestrator nella documentazione di vRealize Orchestrator.

Procedura

  1. Arrestare il server di vRealize Orchestrator e i servizi del Control Center. 
    service vco-server stop
service vco-configurator stop
  2. Reimpostare il provider di autenticazione di vRealize Orchestrator eseguendo il comando seguente. 
    /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh reset-authentication
ls -l /etc/vco/app-server/
mv /etc/vco/app-server/vco-registration-id /etc/vco/app-server/vco-registration-id.old
vcac-vami vco-service-reconfigure
  3. Verificare il certificato attendibile per l'archivio di attendibilità di vRealize Orchestrator tramite l'utilità dell'interfaccia della riga di comando che si trova in /var/lib/vco/tools/configuration-cli/bin con il seguente comando. 
    /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh list-trust
    • Cercare il certificato con il seguente alias: vco.cafe.component-registry.ssl.certificate. Questo deve essere il certificato di vRealize Automation che l'istanza di vRealize Orchestrator utilizza come provider di autenticazione.
    • Questo certificato deve corrispondere al certificato di vRealize Automation appena configurato. Se non corrisponde, può essere modificato come segue:
      1. Copiare il file PEM del certificato dell'appliance firmato di vRealize Automation nella cartella /tmp nell'appliance.
      2. Eseguire il comando seguente aggiungendo il percorso del certificato appropriato. 
        ./vro-configure.sh trust --certificate path-to-the-certificate-file-in-PEM-format--registry-certificate
        Di seguito è disponibile un esempio di comando. 
        /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh trust --certificate /var/tmp/test.pem --registry-certificate
  4. Potrebbe essere necessario eseguire i seguenti comandi per considerare attendibile il certificato. 
    /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh trust --uri https://vra.domain.com

/var/lib/vco/tools/configuration-cli/bin/vro-configure.sh trust --registry-certificate --uri https://vra.domain.com
  5. Assicurarsi che il certificato di vRealize Automation si trovi a questo punto nell'archivio di attendibilità di vRealize Orchestrator utilizzando il comando seguente. 
    /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh list-trust
  6. Avviare i servizi del server vRealize Orchestrator e del Control Center. 
    service vco-server start
service vco-configurator start

Operazioni successive

È possibile verificare che l'attendibilità sia stata aggiornata in un sistema di cluster.

  1. Accedere come root all'interfaccia di gestione dell'appliance virtuale.
  2. Selezionare la pagina Servizi.
  3. Assicurarsi che non siano presenti servizi vco duplicati.

    Se sono presenti servizi vco duplicati, fare clic su Annulla registrazione per rimuovere i servizi che non hanno stato Registered.

  4. Assicurarsi che vco-configurator sia avviato in tutti i nodi dell'appliance virtuale.
  5. Accedere al centro di controllo di vRealize Orchestrator e passare alla pagina Convalida configurazione per convalidare la configurazione.
  6. Passare alla pagina Provider di autenticazione e verificare che le impostazioni di autenticazione siano corrette.

    In questa pagina è possibile anche testare le credenziali di accesso.