Als u vRealize Automation-toepassing- of IaaS-certificaten bijwerkt of wijzigt, moet u vRealize Orchestrator bijwerken om ervoor te zorgen dat de nieuwe of bijgewerkte certificaten worden vertrouwd.

Deze procedure geldt voor alle vRealize Automation-implementaties die een ingesloten vRealize Orchestrator-instantie gebruiken. Zie Externe vRealize Orchestrator bijwerken om vRealize Automation-certificaten te vertrouwen als u een externe vRealize Orchestrator-instantie gebruikt.

Opmerking: Deze procedure herstelt de standaardinstellingen voor tenant- en groepsverificatie. Als u uw verificatieconfiguratie hebt aangepast, noteert u uw aanpassingen zodat u de verificatie opnieuw kunt configureren na afloop van de procedure.

Zie de documentatie voor vRealize Orchestrator voor informatie over het bijwerken en vervangen van vRealize Orchestrator-certificaten.

In een geclusterde configuratie moet u deze procedure voltooien op het hoofdknooppunt van de vRealize Automation-toepassing en vervolgens join-cluster uitvoeren op de master van elk replicaknooppunt van de vRealize Automation-toepassing.
Opmerking: In een cluster beëindigt u de service vco-configurator op alle replicaknooppunten totdat de procedure is voltooid om ongewenste automatische synchronisatie van Control Centers te voorkomen.

Als u vRealize Automation-certificaten vervangt of bijwerkt zonder deze procedure te voltooien, is het vRealize Orchestrator Control Center mogelijk ontoegankelijk en kunnen er fouten optreden in de logboekbestanden van de vco-server en vco-configurator.

Problemen kunnen ook optreden bij het bijwerken van certificaten als vRealize Orchestrator is geconfigureerd om een andere tenant en groep dan vRealize Automation te verifiëren. Zie het VMware Knowledge Base-artikel Uitzondering niet-vertrouwde certificaatketen na het vervangen van het vRA-certificaat (2147612) voor informatie.

De syntaxes van vertrouwensopdrachten in dit document zijn representatief, niet definitief. Hoewel ze geschikt zijn voor de meeste typische implementaties, kunnen er situaties zijn waarin u moet experimenteren met variaties in de opdrachten.

  • Als u --certificate opgeeft, moet u het pad naar een geldig certificaatbestand met PEM-indeling opgeven.
  • Als u --uri opgeeft, moet u de URI opgeven van waaruit de opdracht een vertrouwd certificaat kan ophalen.
  • Als u de optie --registry-certificate opgeeft, geeft u aan dat het aangevraagde certificaat moet worden behandeld als het certificaat voor het onderdelenregister en dat het vertrouwde certificaat wordt toegevoegd aan de truststore onder een specifieke alias die wordt gebruikt door het onderdelenregistercertificaat.

U kunt ook certificaten beheren met behulp van SSL Trust Manager-workflows in vRealize Orchestrator. Zie het onderwerp Orchestrator-certificaten beheren in vRealize Orchestrator-documentatie voor informatie.

Procedure

  1. Stop de vRealize Orchestrator-server en Control Center-services.
    service vco-server stop
    service vco-configurator stop
  2. Herstel de verificatieprovider vRealize Orchestrator door de volgende opdracht uit te voeren.
    /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh reset-authentication
    ls -l /etc/vco/app-server/
    mv /etc/vco/app-server/vco-registration-id /etc/vco/app-server/vco-registration-id.old
    vcac-vami vco-service-reconfigure
  3. Controleer het vertrouwde certificaat voor het vertrouwensarchief vRealize Orchestrator met behulp van het opdrachtregel-hulpprogramma op /var/lib/vco/tools/configuration-cli/bin met de volgende opdracht.
    /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh list-trust
    • Controleer het certificaat met de volgende alias: vco.cafe.component-registry.ssl.certificate. Dit moet het vRealize Automation-certificaat zijn dat de vRealize Orchestrator -instantie gebruikt als verificatieprovider.
    • Dit certificaat moet overeenkomen met het nieuw geconfigureerde vRealize Automation -certificaat. Als het niet overeenkomt, kan het als volgt worden gewijzigd:
      1. Kopieer het PEM-bestand van uw vRealize Automation-ondertekende toepassingscertificaat naar de map /tmp op de toepassing.
      2. Voer de volgende opdracht uit door het juiste certificaatpad toe te voegen.
        ./vro-configure.sh trust --certificate path-to-the-certificate-file-in-PEM-format--registry-certificate
        Zie de volgende opdracht als voorbeeld.
        /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh trust --certificate /var/tmp/test.pem --registry-certifcate
  4. Mogelijk moet u de volgende opdrachten uitvoeren om het certificaat te vertrouwen.
    /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh trust --uri https://vra.domain.com
    
    /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh trust --registry-certificate --uri https://vra.domain.com
  5. Zorg ervoor dat het vRealize Automation-certificaat geïnjecteerd is in het vRealize Orchestrator-vertrouwensarchief met behulp van de volgende opdracht.
    /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh list-trust
  6. Start de vRealize Orchestrator-server en Control Center-services.
    service vco-server start
    service vco-configurator start

Volgende stappen

U kunt valideren dat vertrouwen is bijgewerkt op een geclusterd systeem.

  1. Meld u als rootgebruiker aan bij de beheerinterface van de virtual appliance.
  2. Selecteer de pagina Services.
  3. Zorg ervoor dat er geen dubbele vco-services worden weergegeven.

    Als u dubbele vco-services ziet, klikt u op Registratie ongedaan maken om de services te verwijderen die niet de status Registered hebben.

  4. Zorg ervoor dat vco-configurator wordt gestart op alle virtual appliance-knooppunten.
  5. Meld u aan bij het Control Center van vRealize Orchestrator en navigeer naar de pagina Configuratie valideren om de configuratie te valideren.
  6. Navigeer naar de pagina verificatieprovider en controleer of de verificatie-instellingen juist zijn.

    U kunt ook de aanmeldingsreferenties testen op deze pagina.