Aggiungendo una proprietà di sistema, è possibile abilitare l'algoritmo di convalida del percorso del certificato per i certificati attendibili.

vRealize Orchestrator utilizza ora un percorso di certificazione X.509 (PKIX) dell'infrastruttura a chiave pubblica avanzata quando si utilizzano certificati per stabilire una connessione SSL o TLS con un host. vRealize Orchestrator dovrà funzionare senza interruzioni quando si stabilisce una connessione con un host con un certificato aggiornato emesso da un'autorità di certificazione (CA) attendibile inclusa nell'archivio di attendibilità di vRealize Orchestrator.

Se il certificato dell'oggetto o alcuni dei certificati intermedi vengono rinnovati, l'algoritmo prende una decisione di attendibilità in merito alla possibilità o meno di considerare attendibile qualsiasi certificato che non sia già esplicitamente attendibile.

Nota: L'abilitazione della proprietà di sistema com.vmware.o11n.certPathValidator rende la convalida del certificato ancora più rigida e ne determina l'esecuzione in base a RFC5280. Dopo aver abilitato l'algoritmo di convalida del certificato, alcuni workflow associati a un host con un certificato attendibile ma obsoleto inizieranno a produrre errori finché il problema del certificato non viene risolto mediante il rinnovo dell'host specifico in modo che utilizzi un certificato valido e aggiornato e aggiungendolo nuovamente all'archivio di attendibilità di vRealize Orchestrator.

Procedura

  1. Accedere al Centro di controllo come root.
  2. Selezionare Proprietà di sistema e fare clic su Nuovo.
  3. Nella casella di testo Chiave, immettere com.vmware.o11n.certPathValidator.
  4. Nella casella di testo Valore, immettere true.
  5. (Facoltativo) Aggiungere una descrizione per la proprietà di sistema.
  6. Fare clic su Aggiungi.
    Verrà visualizzata una finestra pop-up.
  7. Per completare l'aggiunta della nuova proprietà di sistema, fare clic su Salva modifiche dalla finestra pop-up.
  8. Per rendere effettive le modifiche, attendere che il server venga riavviato automaticamente.

risultati

L'algoritmo di convalida del certificato è ora abilitato. Per ulteriori informazioni sulla gestione dei certificati vRealize Orchestrator, vedere Gestione dei certificati di vRealize Orchestrator.

Operazioni successive

Se la distribuzione di vRealize Orchestrator utilizza vSphere come provider di autenticazione e si modifica il certificato vCenter, è necessario riavviare il pod di vRealize Orchestrator in modo che l'ambiente possa utilizzare il nuovo certificato. Per riavviare il pod, attenersi alla seguente procedura:

  1. Accedere a vRealize Orchestrator Appliance come utente root.
  2. Eseguire i seguenti comandi:
    kubectl -n prelude scale deployment vco-app --replicas=0
kubectl -n prelude scale deployment vco-app --replicas=1
    Nota: Per distribuzioni in cluster di vRealize Orchestrator, sostituire il secondo comando con il seguente: 
    kubectl -n prelude scale deployment vco-app --replicas=3