Чтобы обеспечить безопасность в среде распределенного развертывания, системный администратор может заменить сертификат, срок действия которого истек, либо самозаверяющий сертификат сертификатом, выданным центром сертификации.

Сертификат с альтернативным именем субъекта можно использовать на нескольких компьютерах. Сертификаты, используемые для компонентов инфраструктуры как услуги (служба диспетчера и веб-сайта), должны быть выданы со значениями SAN, включая полные доменные имена всех узлов Windows, на которых установлен соответствующий компонент, а также полное доменное имя подсистемы балансировки нагрузки для того же компонента.

В службе диспетчера инфраструктуры как услуги и веб-службе инфраструктуры как услуги используется один сертификат.

Процедура

  1. Откройте URL-адрес интерфейса управления устройства vRealize Automation в веб-браузере.
  2. Войдите, используя имя пользователя root и пароль, указанный при развертывании Устройство vRealize Automation.
  3. Выберите vRA > Сертификаты.
  4. Выберите Служба диспетчера в меню Тип компонента.
  5. Выберите тип сертификата в меню Действие с сертификатом.
    Если используется сертификат в кодировке PEM, например для распределенной среды, выберите Импорт.

    Импортируемые сертификаты должны быть доверенными. Убедитесь, что их можно применить ко всем экземплярам устройства vRealize Automation и любой подсистеме балансировки нагрузки при помощи сертификатов с альтернативным именем субъекта (Subject Alternative Name, SAN).

    Примечание: Если используются цепочки сертификатов, укажите сертификаты в следующем порядке:
    1. сертификат клиента или сервера, подписанный промежуточным сертификатом центра сертификации;
    2. промежуточные сертификаты (один или несколько);
    3. корневой сертификат центра сертификации.
    Параметр Описание
    Сохранить существующую Сохраните текущую конфигурацию SSL. Выберите этот параметр, чтобы отменить изменения.
    Создать сертификат
    1. Значение, отображаемое в текстовом поле Обычное имя, является именем узла, которое отображается в верхней части страницы. Если существуют дополнительные экземпляры устройства vRealize Automation, их полные доменные имена включаются в атрибут SAN сертификата.
    2. В текстовом поле Организация введите название организации, например название своей компании.
    3. В текстовом поле Организационная единица введите организационную единицу, например название отдела или расположение.
    4. В текстовом поле Страна введите двухбуквенный код страны ISO 3166, например RU.
    Импорт
    1. Скопируйте значения сертификата, начиная с заголовка BEGIN PRIVATE KEY до нижнего колонтитула END PRIVATE KEY включительно, и вставьте их в текстовое поле Закрытый ключ RSA.
    2. Скопируйте значения сертификата, начиная с заголовка BEGIN CERTIFICATE до нижнего колонтитула END CERTIFICATE включительно, и вставьте их в текстовое поле Цепочка сертификатов. Для нескольких значений сертификатов добавьте заголовок BEGIN PRIVATE KEY и нижний колонтитул END PRIVATE KEY в каждый сертификат.
      Примечание: В цепочках сертификатов могут быть доступны дополнительные атрибуты.
    3. (Необязательно.) Если сертификат использует парольную фразу для шифрования ключа, скопируйте ее и вставьте в текстовое поле Парольная фраза.
    Предоставить отпечаток сертификата Используйте этот параметр, если необходимо предоставить отпечаток сертификата для использования сертификата, который уже развернут в хранилище сертификатов на серверах инфраструктуры как услуги. При использовании этого параметра сертификат не будет передаваться от виртуального устройства на серверы инфраструктуры как услуги. Это позволяет пользователям развертывать в интерфейсе управления существующие сертификаты на серверах инфраструктуры как услуги без отправки их.
  6. Нажмите кнопку Сохранить настройки.
    Через несколько минут на странице появятся сведения о сертификате.
  7. Если это требуется для вашей сети или подсистемы балансировки нагрузки, скопируйте импортированный или новый созданный сертификат в подсистему балансировки нагрузки.
  8. Откройте браузер и перейдите по адресу https://managerServiceAdddress/vmpsProvision/ с сервера, на котором запущен рабочий процесс или агент DEM.
    В случае использования подсистемы балансировки нагрузки имя узла должно быть полным доменным именем подсистемы балансировки нагрузки.
  9. Проигнорируйте предупреждения сертификата, если они будут появляться.
  10. Проверьте, что новый сертификат предоставлен и является доверенным.
  11. При использовании подсистемы балансировки нагрузки стоит настроить и включить применимые проверки работоспособности.