L'amministratore di sistema può aggiornare o sostituire certificati per i componenti di vRealize Automation.

vRealize Automation contiene tre componenti principali che utilizzano certificati SSL per la protezione delle comunicazioni reciproche.
  • Appliance vRealize Automation
  • Componente sito Web di IaaS
  • Componente servizio di gestione di IaaS

In aggiunta, la distribuzione può avere certificati per il sito Web dell’interfaccia di gestione di Appliance vRealize Automation. Ogni macchina IaaS esegue inoltre un agente di gestione che utilizza un certificato.

Nota: vRealize Automation utilizza diversi prodotti di terze parti, come ad esempio Rabbit MQ, per supportare varie funzionalità. Alcuni di questi prodotti utilizzano i propri certificati autofirmati che persistono anche se i certificati primari di vRealize Automation vengono sostituiti con certificati forniti da un'autorità di certificazione. A causa di tale situazione, gli utenti non possono controllare effettivamente l'uso del certificato su porte specifiche, come ad esempio la 5671 che viene utilizzata da RabbitMQ per le comunicazioni interne.

Con un'unica eccezione, i cambiamenti che avvengono sui componenti successivi nell'elenco non influenzano quelli precedenti. L'eccezione è che un certificato aggiornato per componenti di IaaS deve essere registrato con l'appliance vRealize Automation.

In genere, i certificati autofirmati vengono generati e applicati a questi componenti durante l'installazione del prodotto. Potrebbe essere necessario sostituire un certificato per passare da certificati autofirmati a certificati forniti da un'autorità di certificazione o in occasione della scadenza di un certificato. Quando si sostituisce un certificato per un componente di vRealize Automation, le relazioni basate sulla fiducia per altri componenti di vRealize Automation vengono aggiornate automaticamente.

Ad esempio, in un sistema distribuito con istanze multiple di una Appliance vRealize Automation, se si aggiorna un certificato per una Appliance vRealize Automation, tutti gli altri certificati correlati vengono aggiornati automaticamente.

Nota: vRealize Automation supporta certificati SHA2. I certificati autofirmati generati dal sistema utilizzano il protocollo SHA-256 con crittografia RSA. I requisiti di sistema operativo o browser possono richiedere l'aggiornamento a certificati SHA2.

L'interfaccia di gestione dell'appliance vRealize Automation fornisce le opzioni per l'aggiornamento o la sostituzione dei certificati.

In una distribuzione in cluster, è necessario avviare le modifiche dall'interfaccia del nodo master.
  • Genera certificato: vRealize Automation genera un certificato autofirmato.
  • Importa certificato: consente di usare il proprio certificato.
  • Fornisci identificazione personale certificato: consente di fornire un'identificazione personale del certificato per utilizzare un certificato già presente nell'archivio certificati nei server Windows IaaS.

    Con questa opzione il certificato non verrà trasmesso dall'appliance vRealize Automation ai server Windows IaaS. L'opzione consente agli utenti di distribuire i certificati esistenti già presenti nei server Windows IaaS senza caricare i certificati nell'interfaccia di gestione dell'appliance vRealize Automation.

  • Mantieni esistente: consente di continuare a utilizzare il certificato corrente.

I certificati per il sito Web dell’interfaccia di gestione dell'appliance vRealize Automation non hanno requisiti di registrazione.

Nota: Se il certificato utilizza una passphrase per la crittografia e questa non viene inserita all'atto della sostituzione del certificato sull'appliance, la sostituzione del certificato non viene eseguita e compare il messaggio Unable to load private key.

Modelli di macchine virtuali

Dopo aver modificato i certificati dell'appliance vRealize Automation o del server Windows IaaS, è necessario aggiornare gli agenti guest e software di vRealize Automation nei modelli di macchine virtuali in modo che i modelli funzionino di nuovo in vRealize Automation. Se non si aggiornano gli agenti, le richieste di distribuzione che coinvolgono componenti software non riescono con un errore simile all'esempio seguente.

The following component requests failed: Linux. Request failed: Machine VM-001: InstallSoftwareWorkflow. Install software work item timeout.

vRealize Orchestrator

Dopo aver modificato i certificati vRealize Automation, è necessario aggiornare vRealize Orchestrator in modo che consideri attendibili i nuovi certificati.

Il componente vRealize Orchestrator associato alla distribuzione vRealize Automation ha certificati propri e inoltre deve considerare attendibili i certificati vRealize Automation. Per impostazione predefinita, il componente vRealize Orchestrator è incorporato in vRealize Automation, anche se alcuni utenti scelgono di utilizzare un vRealize Orchestrator esterno. In entrambi i casi, consultare la documentazione di vRealize Orchestrator per informazioni sull'aggiornamento dei certificati vRealize Orchestrator.

Se si esegue una distribuzione di vRealize Orchestrator con più nodi dietro un bilanciamento del carico, tutti i nodi di vRealize Orchestrator devono utilizzare lo stesso certificato.

Ulteriori informazioni

Per ulteriori informazioni sulla risoluzione dei problemi relativi ai certificati, sul supporto e sui requisiti di attendibilità per i certificati, vedere l'articolo 2106583 della Knowledge Base di VMware.