Чтобы обеспечить безопасность в среде распределенного развертывания, системный администратор может заменить сертификат, срок действия которого истек, либо самозаверяющий сертификат сертификатом, выданным центром сертификации.

Сертификат с альтернативным именем субъекта можно использовать на нескольких компьютерах. Сертификаты, используемые для компонентов инфраструктуры как услуги (служба диспетчера и веб-сайта), должны быть выданы со значениями SAN, включая полные доменные имена всех узлов Windows, на которых установлен соответствующий компонент, а также полное доменное имя подсистемы балансировки нагрузки для того же компонента.

В службе диспетчера инфраструктуры как услуги и веб-службе инфраструктуры как услуги используется один сертификат.

Процедура

  1. Откройте URL-адрес интерфейса управления устройства vRealize Automation в веб-браузере.
  2. Войдите, используя имя пользователя root и пароль, указанный при развертывании Устройство vRealize Automation.
  3. Выберите vRA > Сертификаты.
  4. Выберите Служба диспетчера в меню Тип компонента.
  5. Выберите тип сертификата в меню Действие с сертификатом.
    Если используется сертификат в кодировке PEM, например для распределенной среды, выберите Импорт.

    Импортируемые сертификаты должны быть доверенными. Убедитесь, что их можно применить ко всем экземплярам устройства vRealize Automation и любой подсистеме балансировки нагрузки при помощи сертификатов с альтернативным именем субъекта (Subject Alternative Name, SAN).

    Примечание: Если используются цепочки сертификатов, укажите сертификаты в следующем порядке:
    1. а.сертификат клиента или сервера, подписанный промежуточным сертификатом центра сертификации;
    2. б.промежуточные сертификаты (один или несколько);
    3. в.корневой сертификат центра сертификации.
    Параметр Описание
    Сохранить существующую Сохраните текущую конфигурацию SSL. Выберите этот параметр, чтобы отменить изменения.
    Создать сертификат
    1. а.Значение, отображаемое в текстовом поле Обычное имя, является именем узла, которое отображается в верхней части страницы. Если существуют дополнительные экземпляры устройства vRealize Automation, их полные доменные имена включаются в атрибут SAN сертификата.
    2. б.В текстовом поле Организация введите название организации, например название своей компании.
    3. в.В текстовом поле Организационная единица введите организационную единицу, например название отдела или расположение.
    4. г.В текстовом поле Страна введите двухбуквенный код страны ISO 3166, например RU.
    Импорт
    1. а.Скопируйте значения сертификата, начиная с заголовка BEGIN PRIVATE KEY до нижнего колонтитула END PRIVATE KEY включительно, и вставьте их в текстовое поле Закрытый ключ RSA.
    2. б. Скопируйте значения сертификата, начиная с заголовка BEGIN CERTIFICATE до нижнего колонтитула END CERTIFICATE включительно, и вставьте их в текстовое поле Цепочка сертификатов. Для нескольких значений сертификатов добавьте заголовок BEGIN PRIVATE KEY и нижний колонтитул END PRIVATE KEY в каждый сертификат.
      Примечание: В цепочках сертификатов могут быть доступны дополнительные атрибуты.
    3. в.(Необязательно.) Если сертификат использует парольную фразу для шифрования ключа, скопируйте ее и вставьте в текстовое поле Парольная фраза.
    Предоставить отпечаток сертификата Используйте этот параметр, если необходимо предоставить отпечаток сертификата для использования сертификата, который уже развернут в хранилище сертификатов на серверах инфраструктуры как услуги. При использовании этого параметра сертификат не будет передаваться от виртуального устройства на серверы инфраструктуры как услуги. Это позволяет пользователям развертывать в интерфейсе управления существующие сертификаты на серверах инфраструктуры как услуги без отправки их.
  6. Нажмите кнопку Сохранить настройки.
    Через несколько минут на странице появятся сведения о сертификате.
  7. Если это требуется для вашей сети или подсистемы балансировки нагрузки, скопируйте импортированный или новый созданный сертификат в подсистему балансировки нагрузки.
  8. Откройте браузер и перейдите по адресу https://managerServiceAdddress/vmpsProvision/ с сервера, на котором запущен рабочий процесс или агент DEM.
    В случае использования подсистемы балансировки нагрузки имя узла должно быть полным доменным именем подсистемы балансировки нагрузки.
  9. Проигнорируйте предупреждения сертификата, если они будут появляться.
  10. Проверьте, что новый сертификат предоставлен и является доверенным.
  11. При использовании подсистемы балансировки нагрузки стоит настроить и включить применимые проверки работоспособности.