vRealize Automation использует сертификаты для установления доверительных отношений и обеспечения защищенного обмена данными между компонентами в распределенных развертываниях.

В распределенном или кластерном развертывании организация сертификатов во многом соответствует трехуровневой архитектуре vRealize Automation.

  • устройства vRealize Automation

  • веб-компоненты Инфраструктура как услуга

  • компоненты службы диспетчера Инфраструктура как услуга

В распределенном кластере каждый компьютер на определенном уровне использует общий сертификат. Например, каждое устройство vRealize Automation использует общий сертификат, и каждый узел службы диспетчера использует общий сертификат.

Если веб-компоненты и компоненты службы диспетчера размещены на одном компьютере, для обоих уровней достаточно одного сертификата.

Сертификаты, созданные системой

Начиная с версии 7.0, если не предоставить собственные сертификаты, мастер установки vRealize Automation может автоматически создавать самозаверяющие сертификаты и размещать их в соответствующих хранилищах доверия в распределенных компонентах, которые нуждаются в этих сертификатах.

Сведения об обновлении самозаверяющих сертификатов, созданных системой, с использованием сертификатов, предоставленных пользователем или центром сертификации, см. в разделе Обновление сертификатов vRealize Automation.

Предоставление собственных сертификатов

При запуске стандартной программы установки вручную предоставляются собственные самозаверяющие сертификаты или сертификаты из центра сертификации (CA).

В случае, если сертификаты предоставляются пользователем или создаются им с помощью OpenSSL или другого метода, можно использовать групповые сертификаты или сертификаты альтернативного имени субъекта (SAN).

сертификаты Инфраструктура как услуга должны быть многоразовыми. В случае предоставления сертификатов пользователем необходимо получить многоразовый сертификат, который включает компоненты Инфраструктура как услуга в кластере, а затем скопировать его в хранилище доверия для каждого из компонентов.

Подсистемы балансировки нагрузки

Для обеспечения высокой доступности и аварийного переключения можно добавить подсистемы балансировки нагрузки перед распределенными компонентами vRealize Automation. Компания VMware рекомендует сквозную конфигурацию для подсистем балансировки нагрузки vRealize Automation. В сквозной конфигурации подсистемы балансировки нагрузки передают запросы компонентам без расшифровки. После этого устройства vRealize Automation и узлы инфраструктуры как услуги (IaaS) выполняют необходимую расшифровку.

Если используются подсистемы балансировки нагрузки, в доверенный адрес многоразового сертификата кластера необходимо включить полное доменное имя подсистемы балансировки нагрузки.

Дополнительные сведения об использовании и настройке подсистем балансировки нагрузки см. в разделе Подсистема балансировки нагрузки vRealize Automation.

Требования к доверию для сертификатов

В следующей таблице приведены требования к доверительной регистрации для различных импортируемых сертификатов.

Импорт

Зарегистрировать

Кластер устройства vRealize Automation

Кластер веб-компонентов инфраструктуры как услуги

Кластер веб-компонента Инфраструктура как услуга

  • Кластер устройства vRealize Automation

  • Кластер компонентов службы диспетчера

  • Оркестратор DEM и компоненты рабочих процессов DEM

Кластер компонентов службы диспетчера Инфраструктура как услуга

  • Оркестратор DEM и компоненты рабочих процессов DEM

  • Агенты и прокси-агенты

Доверие к сертификату и стандартный установщик

При каждом запуске стандартной программы установки вручную для создания компонентов Инфраструктура как услуга необходимо настроить доверие сертификатов на этих компонентах Инфраструктура как услуга. Например, можно использовать стандартный установщик для увеличения масштаба существующего развертывания.

  • Веб-узлы и узлы службы диспетчера Инфраструктура как услуга

    Импортируйте файлы web.pfx и ms.pfx в указанные ниже расположения.

    Host Computer/Certificates/Personal certificate store
    Host Computer/Certificates/Trusted People certificate store
  • Узлы DEM Orchestrator Инфраструктура как услуга, узлы рабочего процесса DEM и узлы прокси-агента

    Импортируйте файлы web.pfx и ms.pfx в указанное ниже расположение.

    Host Computer/Certificates/Trusted People certificate store

В хранилище сертификатов «Доверенные лица» не нужно импортировать закрытый ключ вместе с сертификатом. В процессе автоматической установки в хранилище сертификатов «Доверенные лица» устанавливается только сертификат.