При обновлении или изменении Устройство vRealize Automation или сертификатов инфраструктуры как услуги необходимо настроить в vRealize Orchestrator доверие к новым или обновленным сертификатам.

Данная процедура относится ко всем развертываниям vRealize Automation, в которых используется встроенная копия vRealize Orchestrator. При использовании внешней копии vRealize Orchestrator см. Включение во внешнем vRealize Orchestrator доверия к сертификатам vRealize Automation.

Примечание: Эта процедура сбрасывает настройки аутентификации арендатора и группы пользователей к значениям по умолчанию. Если вы проводили индивидуальную настройку аутентификации, сохраните информацию об имеющихся настройках, чтобы после завершения процедуры можно было настроить аутентификацию заново.

Сведения об обновлении и замене сертификатов vRealize Orchestrator см. в документации vRealize Orchestrator.

В кластерной конфигурации необходимо выполнить эту процедуру на главном узле vRealize Automation, а затем выполнить join-cluster для главного узла на каждом узле-реплике устройства vRealize Automation.
Примечание: В кластере необходимо остановить службу vco-configurator на всех узлах-репликах вплоть до завершения процедуры, чтобы избежать нежелательной автоматической синхронизации центра управления.

При замене или обновлении сертификатов vRealize Automationбез выполнения данной процедуры центр управления vRealize Orchestrator может оказаться недоступен. Также могут возникнуть ошибки в файлах журнала vco-server и vco-configurator.

Кроме того, ошибки при обновлении сертификатов могут появиться, если vRealize Orchestratorнастроен на аутентификацию для иного арендатора и группы пользователей, нежели vRealize Automation. Дополнительные сведения см. в статье базы знаний VMware об исключении цепочки недоверенных сертификатов после замены сертификатов vRA (2147612.

Описанный здесь синтаксис команды настройки доверия приведен для примера и не является исчерпывающим. Несмотря на то что такой синтаксис подходит для большинства типичных развертываний, в отдельных случаях может потребоваться поэкспериментировать с различными вариациями команд.

  • Если задан параметр --certificate, необходимо указать путь к допустимому файлу сертификата в формате PEM.
  • Если задан параметр --uri, необходимо указать URI, от которого команда может получить доверенный сертификат.
  • Если задан параметр --registry-certificate, необходимо указать, что запрашиваемый сертификат должен обрабатываться как сертификат для реестра компонентов, а доверенный сертификат добавляется в доверенное хранилище под псевдонимом, который используется сертификатом реестра компонента.

Также можно управлять сертификатами с помощью рабочих процессов диспетчера доверия SSL в vRealize Orchestrator. Дополнительные сведения см. в разделе Управление сертификатами Orchestrator в документации по vRealize Orchestrator.

Процедура

  1. Остановите сервер vRealize Orchestrator и службы центра управления. 
    service vco-server stop
service vco-configurator stop
  2. Сбросьте поставщика проверки подлинности vRealize Orchestrator, выполнив следующую команду. 
    /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh reset-authentication
ls -l /etc/vco/app-server/
mv /etc/vco/app-server/vco-registration-id /etc/vco/app-server/vco-registration-id.old
vcac-vami vco-service-reconfigure
  3. Проверьте доверенный сертификат для доверенного хранилища vRealize Orchestrator с помощью программы интерфейса командной строки, которая находится в папке /var/lib/vco/tools/configuration-cli/bin, выполнив следующую команду. 
    /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh list-trust
    • Проверьте сертификат с помощью следующего псевдонима: vco.cafe.component-registry.ssl.certificate. Это должен быть сертификат vRealize Automation, который используется экземпляром vRealize Orchestrator в качестве поставщика проверки подлинности.
    • Этот сертификат должен совпадать с только что настроенным сертификатом vRealize Automation. Если он не совпадает, его можно изменить следующим образом.
      1. Скопируйте PEM-файл сертификата устройства, подписанный vRealize Automation, в папку /tmp на устройстве.
      2. Выполните следующую команду, добавив соответствующий путь сертификата. 
        ./vro-configure.sh trust --certificate path-to-the-certificate-file-in-PEM-format--registry-certificate
        См. приведенный ниже пример команды. 
        /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh trust --certificate /var/tmp/test.pem --registry-certifcate
  4. Возможно, потребуется выполнить следующие команды, чтобы сделать сертификат доверенным. 
    /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh trust --uri https://vra.domain.com

/var/lib/vco/tools/configuration-cli/bin/vro-configure.sh trust --registry-certificate --uri https://vra.domain.com
  5. Убедитесь, что сертификат vRealize Automation теперь вставляется в доверенное хранилище vRealize Orchestrator, выполнив следующую команду. 
    /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh list-trust
  6. Запуск сервера vRealize Orchestrator и служб центра управления. 
    service vco-server start
service vco-configurator start

Дальнейшие действия

Можно проверить, обновлены ли отношения доверия в кластерной системе.

  1. Выполните вход в интерфейс управления виртуальным устройством с учетными данными пользователя root.
  2. Перейдите на страницу «Службы» (Services).
  3. Убедитесь, что в списке нет дублирующихся служб vCO.

    Если в списке есть дублирующиеся службы vCO, выберите Отменить регистрацию, чтобы удалить службы, которым не назначено состояние Registered.

  4. Убедитесь, что средство настройки vCO запущено на всех узлах виртуального устройства.
  5. Войдите в центр управления vRealize Orchestrator и перейдите на страницу «Проверка конфигурации» (Validate Configuration), чтобы проверить конфигурацию.
  6. Перейдите на страницу «Поставщик проверки подлинности» (Authentication Provider) и убедитесь в том, что параметры проверки подлинности заданы правильно.

    На этой странице также можно протестировать учетные данные для входа.