Door een systeemeigenschap toe te voegen, kunt u het validatiealgoritme voor certificaatpaden inschakelen voor uw vertrouwde certificaten.

vRealize Orchestrator gebruikt nu een verbeterd X.509-certificeringspad (PKIX) voor infrastructuur met openbare sleutel wanneer u werkt met certificaten voor het maken van een SSL- of TLS-verbinding met een host. vRealize Orchestrator moeten ononderbroken werken wanneer een verbinding tot stand wordt gebracht met een host met een bijgewerkt certificaat dat is uitgegeven door een vertrouwde certificaatautoriteit (CA) die is opgenomen in het vRealize Orchestrator-vertrouwensarchief.

Als het onderwerpcertificaat of sommige van de tussenliggende certificaten worden vernieuwd, neemt het algoritme een weloverwogen beslissing om te bepalen of het een certificaat kan vertrouwen dat nog niet expliciet wordt vertrouwd.

Opmerking: Door het inschakelen van de systeemeigenschap com.vmware.o11n.certPathValidator wordt de certificaatvalidatie strikter en gebeurt dit volgens RFC5280. Nadat het certificaatvalidatiealgoritme is ingeschakeld, beginnen bepaalde werkstromen die aan een host met een vertrouwd, maar verouderd certificaat zijn gekoppeld, te mislukken totdat het certificaatprobleem wordt opgelost door de specifieke host te vernieuwen om een geldig en actueel certificaat te gebruiken en dit opnieuw toe te voegen aan het vRealize Orchestrator-vertrouwensarchief.

Procedure

  1. Meld u aan bij het Control Center als root.
  2. Selecteer Systeem-eigen-schappen en klik op Nieuw.
  3. Voer com.vmware.o11n.certPathValidator in het tekstvak Sleutel in.
  4. Voer waar in het tekstvak Waarde in.
  5. (Optioneel) Voer een beschrijving in voor de systeemeigenschap.
  6. Klik op Toevoegen.
    Er verschijnt een pop-upvenster.
  7. Klik op Wijzigingen opslaan in het pop-upvenster om het toevoegen van de nieuwe systeemeigenschap te voltooien.
  8. Wacht tot de server automatisch opnieuw wordt opgestart, zodat de wijzigingen worden toegepast.

resultaten

Het algoritme voor de certificaatvalidatie is nu ingeschakeld. Zie vRealize Orchestrator-certificaten beheren voor meer informatie over het beheren van vRealize Orchestrator-certificaten.

Volgende stappen

Als uw vRealize Orchestrator-implementatie vSphere als verificatieprovider gebruikt en u het vCenter-certificaat wijzigt, moet u de vRealize Orchestrator-pod opnieuw starten zodat de omgeving het nieuwe certificaat kan gebruiken. Om uw pod opnieuw te starten, gebruikt u de volgende procedure:

  1. Meld u als root aan bij de vRealize Orchestrator Appliance.
  2. Voer de volgende commando's uit:
    kubectl -n prelude scale deployment vco-app --replicas=0
kubectl -n prelude scale deployment vco-app --replicas=1
    Opmerking: Voor geclusterde vRealize Orchestrator-implementaties vervangt u het tweede commando door het volgende: 
    kubectl -n prelude scale deployment vco-app --replicas=3