Системный администратор может обновить или заменить самозаверяющий сертификат доверенным сертификатом, выданным центром сертификации. Можно использовать сертификаты с альтернативным именем субъекта, групповые сертификаты или любой другой метод многоразовой сертификации, который подходит для данной среды, при условии, что он удовлетворяет требованиям к доверию.

При обновлении или замене сертификата устройства vRealize Automation доверие в отношении других связанных компонентов автоматически инициируется повторно. Дополнительные сведения об обновлении сертификатов см. в разделе Обновление сертификатов vRealize Automation.

Процедура

  1. Выполните вход в интерфейс управления устройства vRealize Automation как пользователь root.
    https:// vrealize-automation-appliance-FQDN:5480
  2. Выберите vRA > Сертификаты.
  3. Выберите компонент vRealize Automation, для которого нужно обновить сертификат.
  4. Выберите нужное действие в меню Действие с сертификатом.
    Если используется сертификат в кодировке PEM, например для распределенной среды, выберите Импорт.

    Импортируемые сертификаты должны быть доверенными. Убедитесь, что их можно применить ко всем экземплярам устройства vRealize Automation и любой подсистеме балансировки нагрузки при помощи сертификатов с альтернативным именем субъекта (Subject Alternative Name, SAN).

    Если необходимо создать запрос CSR на новый сертификат, который можно будет отправить в центр сертификации, выберите Создать запрос подписи. CSR позволит вашему центру сертификации создать сертификат с правильными значениями, который затем будет можно импортировать.

    Примечание: Если используются цепочки сертификатов, укажите сертификаты в следующем порядке:
    1. сертификат клиента или сервера, подписанный промежуточным сертификатом центра сертификации;
    2. промежуточные сертификаты (один или несколько);
    3. корневой сертификат центра сертификации.
    Параметр Действие
    Сохранить существующую Сохраните текущую конфигурацию SSL. Выберите этот параметр, чтобы отменить изменения.
    Создать сертификат
    1. Значение, отображаемое в текстовом поле Обычное имя, является именем узла, которое отображается в верхней части страницы. Если существуют дополнительные экземпляры устройства vRealize Automation, их полные доменные имена включаются в атрибут SAN сертификата.
    2. В текстовом поле Организация введите название организации, например название своей компании.
    3. В текстовом поле Организационная единица введите организационную единицу, например название отдела или расположение.
    4. В текстовом поле Страна введите двухбуквенный код страны ISO 3166, например RU.
    Создать запрос подписи
    1. Выберите Создать запрос подписи.
    2. Проверьте значения в текстовых полях Организации, Организационная единица, Код страны и Обычное имя. Эти значения подставляются из существующего сертификата. При необходимости эти значения можно изменить.
    3. Щелкните Создать CSR для создания запроса на подпись сертификата, а затем щелкните ссылку Загрузить созданный CSR здесь, чтобы открыть диалоговое окно, с помощью которого CSR можно будет сохранить в расположении для отправки в центр сертификации.
    4. При получении подготовленного сертификата щелкните Импортировать и выполните процедуру импорта сертификата в vRealize Automation.
    Импорт
    1. Скопируйте значения сертификата, начиная с заголовка BEGIN PRIVATE KEY до нижнего колонтитула END PRIVATE KEY включительно, и вставьте их в текстовое поле Закрытый ключ RSA.
    2. Скопируйте значения сертификата, начиная с заголовка BEGIN CERTIFICATE до нижнего колонтитула END CERTIFICATE включительно, и вставьте их в текстовое поле Цепочка сертификатов. Для нескольких значений сертификатов добавьте заголовок BEGIN PRIVATE KEY и нижний колонтитул END PRIVATE KEY в каждый сертификат.
      Примечание: В цепочках сертификатов могут быть доступны дополнительные атрибуты.
    3. (Необязательно.) Если сертификат использует парольную фразу для шифрования ключа, скопируйте ее и вставьте в текстовое поле Парольная фраза.
  5. Нажмите кнопку Сохранить настройки.

    Для обновления сертификата устройства vRealize Automation требуется, чтобы службы vRealize Automation были надлежащим образом перезапущены. Перезапуск может занять от 15 минут до часа в зависимости от количества устройств vRealize Automation в рабочей среде.

    После перезапуска на странице отобразятся сведения о сертификате для всех соответствующих экземпляров устройства vRealize Automation.

  6. Если это требуется для вашей сети или подсистемы балансировки нагрузки, скопируйте импортированный или новый созданный сертификат в подсистему балансировки нагрузки виртуального устройства.
    Может потребоваться включить доступ с правами root по протоколу SSH, чтобы экспортировать сертификат.
    1. Если вы еще не вошли в систему, выполните вход в консоль управления устройства vRealize Automation как в качестве пользователя с правами root.
    2. Откройте вкладку Администратор.
    3. Щелкните подменю Admin.
    4. Установите флажок Служба SSH включена.
      По окончании процедуры снимите флажок, чтобы выключить SSH.
    5. Установите флажок Вход администратора по протоколу SSH.
      По окончании процедуры снимите флажок, чтобы выключить SSH.
    6. Нажмите кнопку Сохранить настройки.
  7. Убедитесь, что можете войти в консоль vRealize Automation.
    1. Откройте браузер и перейдите по адресу https://vcac-hostname.domain.name/vcac.
      В случае использования подсистемы балансировки нагрузки имя узла должно быть полным доменным именем подсистемы балансировки нагрузки.
    2. Проигнорируйте предупреждения сертификата, если они будут появляться.
    3. Войдите, используя имя administrator@vsphere.local и пароль, указанный при настройке управления каталогами.
      Консоль откроется на странице Арендаторы на вкладке Администрирование. В списке появится один арендатор с именем vsphere.local.
  8. При использовании подсистемы балансировки нагрузки стоит настроить и включить применимые проверки работоспособности.

Результаты

Теперь сертификат обновлен.