vRealize Automation gebruikt certificaten om vertrouwensrelaties te onderhouden en veilige communicatie aan te bieden aan onderdelen in gedistribueerde implementaties.

In een gedistribueerde, of geclusterde, implementatie volgt de certificaatorganisatie grotendeels de drielaagse vRealize Automation-architectuur.

  • vRealize Automation-appliances

  • IaaS Web-onderdelen

  • IaaS Manager Service-onderdelen

In een gedistribueerde implementatie deelt elke machine in een bepaalde laag een certificaat. Elke vRealize Automation-appliance deelt bijvoorbeeld een gemeenschappelijk certificaat en ook elke Manager Service-host deelt een gemeenschappelijk certificaat.

Wanneer de Web- en Manager Service-onderdelen op dezelfde machine worden gehost, is één certificaat voldoende voor beide lagen.

Door systeem gegenereerde certificaten

Als u vanaf versie 7.0 uw eigen certificaten niet opgeeft, kan de installatiewizard voor vRealize Automation automatisch zelfondertekende certificaten genereren en deze in de juiste vertrouwensarchieven plaatsen op de gedistribueerde onderdelen die deze nodig hebben.

Als u de door een systeem gegenereerde, zelfondertekende certificaten moet bijwerken met door de gebruiker of CA aangeleverde certificaten, raadpleegt u Certificaten voor vRealize Automation bijwerken.

Uw eigen certificaten aanleveren

Wanneer u het handmatige standaardinstallatieprogramma uitvoert, geeft u uw eigen zelfondertekende certificaten of CA-certificaten op.

Als u uw eigen certificaten aanlevert of genereert met OpenSSL of een andere methode, kunt u wildcardcertificaten of SAN-certificaten (Subject Alternative Name) gebruiken.

IaaS-certificaten moeten certificaten voor meervoudig gebruik zijn. Als u zelf certificaten aanlevert, moet u een certificaat voor meervoudig gebruik hebben waarin de IaaS-onderdelen zijn inbegrepen in het cluster en dat certificaat kopiëren naar het vertrouwensarchief voor elk onderdeel.

Load balancers

Voor hoge beschikbaarheid en failover kunt u load balancers toevoegen vóór gedistribueerde vRealize Automation-onderdelen. VMware beveelt een passthrough-configuratie aan voor vRealize Automation load balancers. In een passthrough-configuratie geven load balancers aanvragen door aan onderdelen zonder te ontsleutelen. De vRealize Automation-appliances en IaaS-hosts voeren vervolgens de nodige ontsleuteling uit.

Als u load balancers gebruikt, moet u de FQDN van de load balancer opnemen in het vertrouwde adres van clustercertificaten voor meervoudig gebruik.

Voor meer informatie over het gebruik en de configuratie van load balancers verwijzen wij u naar Load balancing van vRealize Automation.

Certificaatvertrouwensvereisten

De volgende tabel biedt een overzicht van de vertrouwensregistratievereisten voor diverse geïmporteerde certificaten.

Importeren

Registreren

vRealize Automation-toepassingscluster

IaaS-webonderdelencluster

IaaS Web-onderdelencluster

  • vRealize Automation-toepassingscluster

  • Manager Service-onderdelencluster

  • DEM Orchestrator- en DEM Worker-onderdelen

IaaS Manager Service-onderdelencluster

  • DEM Orchestrator- en DEM Worker-onderdelen

  • Agenten en proxyagenten

Certificaatvertrouwen en het standaardinstallatieprogramma

IaaSWanneer u het handmatige standaardinstallatieprogramma uitvoert of opnieuw start, moet u het certificaatvertrouwen voor die IaaS-onderdelen configureren. U kunt bijvoorbeeld het standaardinstallatieprogramma gebruiken om een bestaande implementatie uit te schalen.

  • IaaS Web- en Manager Service-hosts

    Importeer de bestanden web.pfx en ms.pfx op de volgende locaties.

    Host Computer/Certificates/Personal certificate store
    Host Computer/Certificates/Trusted People certificate store
  • IaaS DEM Orchestrator, DEM Worker en proxyagenthosts

    Importeer de bestanden web.pfx en ms.pfx op de volgende locatie.

    Host Computer/Certificates/Trusted People certificate store

In het certificaatarchief Vertrouwde personen hoeft u de persoonlijke sleutel niet samen met het certificaat te importeren. Tijdens het automatische installatieproces wordt alleen het certificaat in het certificaatarchief Vertrouwde personen geïnstalleerd.