Добавление свойства системы позволяет активировать алгоритм проверки пути к сертификату для доверенных сертификатов.

При работе с сертификатами для установки SSL- или TLS-соединения с узлом в Automation Orchestrator используется расширенный путь к сертификату с открытым ключом X.509 (PKIX). Компонент Automation Orchestrator должен работать без сбоев, если подключение к узлу выполняется с использованием обновленного сертификата, выданного доверенным центром сертификации (ЦС), входящим в хранилище доверия Automation Orchestrator.

При обновлении сертификата субъекта или нескольких промежуточных сертификатов алгоритм определяет, можно ли доверять сертификату, который еще не определен явно как доверенный.

Примечание: Если активировано свойство системы com.vmware.o11n.certPathValidator, проверка сертификатов выполняется более строго, в соответствии с RFC5280. После активации алгоритма проверки сертификатов некоторые рабочие процессы, связанные с узлом, у которого доверенный, но устаревший сертификат, начинают завершаться сбоем. Чтобы устранить эту проблему с сертификатом, следует установить на конкретном узле действительный и актуальный сертификат и вновь добавить его в доверенное хранилище Automation Orchestrator.

Процедура

  1. Войдите в центр управления от имени пользователя root.
  2. Выберите Свойства системы и нажмите кнопку Создать.
  3. В текстовом поле Ключ введите com.vmware.o11n.certPathValidator.
  4. В текстовом поле Значение введите true.
  5. (Необязательно) Добавьте описание свойства системы.
  6. Нажмите кнопку Добавить.
    Появится всплывающее окно.
  7. Чтобы завершить процесс добавления нового свойства системы, во всплывающем окне нажмите Сохранить изменения.
  8. Дождитесь автоматического перезапуска сервера, чтобы изменения вступили в силу.

Результаты

Теперь алгоритм проверки сертификатов активирован. Дополнительные сведения об управлении сертификатами Automation Orchestrator см. в разделе Управление сертификатами Automation Orchestrator.

Дальнейшие действия

Если в развертывании Automation Orchestrator в качестве поставщика проверки подлинности используется vSphere и вы меняете сертификат vCenter, необходимо перезапустить модуль Automation Orchestrator, чтобы в среде использовался новый сертификат. Чтобы перезапустить модуль, выполните следующую процедуру.

  1. Войдите в Automation Orchestrator Appliance как пользователь root.
  2. Выполните следующие команды:
    kubectl -n prelude scale deployment vco-app --replicas=0
kubectl -n prelude scale deployment vco-app --replicas=1
    Примечание: Для кластерных развертываний Automation Orchestrator замените вторую команду следующей: 
    kubectl -n prelude scale deployment vco-app --replicas=3