Системный администратор может обновлять или заменять сертификаты для компонентов vRealize Automation.

vRealize Automation содержит три основных компонента, которые используют сертификаты SSL, чтобы упростить безопасное соединение друг с другом.
  • Устройство vRealize Automation
  • компонент веб-сайта инфраструктуры как услуги
  • Компонент службы диспетчера инфраструктуры как услуги

Кроме того, в развертывании могут быть сертификаты для веб-сайта с интерфейсом управления Устройство vRealize Automation. Помимо этого, на каждом компьютере Инфраструктура как услуга работает агент управления, в котором используется сертификат.

Примечание: vRealize Automation использует несколько сторонних продуктов, например Rabbit MQ, чтобы обеспечивать поддержку различных функций. Некоторые из этих продуктов используют собственные самозаверяющие сертификаты, которые сохраняются, даже если заменить основные сертификаты vRealize Automation на сертификаты, предоставленные центром сертификации. Из-за этого пользователи не могут полностью контролировать использование сертификатов на отдельных портах, например 5671, который используется RabbitMQ для внутреннего взаимодействия.

Изменения в компонентах поздних версий в этом списке не влияют на компоненты ранних версий, но есть одно исключение. Оно состоит в том, что обновленный сертификат для компонентов Инфраструктура как услуга нужно зарегистрировать на устройстве vRealize Automation.

Как правило, создаются самозаверяющие сертификаты и применяются к этим компонентам во время установки продукта. Возможно, потребуется заменить сертификат, чтобы перейти от использования самозаверяющих сертификатов на сертификаты, предоставленные центром сертификации, или по истечении срока действия сертификата. При замене сертификата для компонента vRealize Automation доверие с другими компонентами vRealize Automation обновляется автоматически.

Например, если в распределенной системе с несколькими экземплярами Устройство vRealize Automation обновить сертификат для одного продукта Устройство vRealize Automation, все другие связанные сертификаты обновятся автоматически.

Примечание: vRealize Automation поддерживает сертификаты SHA2. В самозаверящих сертификатах, созданных в системе, используется SHA-56 с шифрованием RSA. Возможно, потребуется выполнить обновление до сертификатов SHA2 в соответствии с требованиями операционной системы или браузера.

В интерфейсе управления устройством vRealize Automation доступны функции обновления или замены сертификатов.

В кластерном развертывании изменения необходимо инициировать из интерфейса основного узла.
  • Создать сертификат vRealize Automation создаст самозаверяющий сертификат.
  • Импортировать сертификат — использование собственного сертификата.
  • Предоставить отпечаток сертификата — предоставление отпечатка сертификата для использования сертификата, который уже находится в хранилище сертификатов на серверах Инфраструктура как услуга под управлением Windows.

    При использовании этого параметра сертификат не будет передаваться от устройства vRealize Automation на Windows-серверы инфраструктуры как услуги. Этот параметр позволяет развертывать существующие сертификаты на Windows-серверах инфраструктуры как услуги без отправки сертификатов через интерфейс управления устройством vRealize Automation.

  • Сохранить существующий — продолжить использование текущего сертификата.

Сертификаты для веб-сайтов с интерфейсом управления vRealize Automation не требуют регистрации.

Примечание: Если в сертификате для шифрования используется парольная фраза, но ее не удалось правильно ввести при замене сертификата на устройстве, то произойдет сбой замены сертификата и отобразится сообщение Unable to load private key.

Шаблоны виртуальной машины

После изменения сертификатов устройства vRealize Automation или Windows-сервера инфраструктуры как услуги необходимо обновить гостевые и программные агенты vRealize Automation в шаблонах виртуальных машин, чтобы эти шаблоны снова работали в vRealize Automation. Если не обновить агенты, то запросы на развертывание, связанные с программными компонентами, завершатся ошибкой, как показано в следующем примере.

The following component requests failed: Linux. Request failed: Machine VM-001: InstallSoftwareWorkflow. Install software work item timeout.

vRealize Orchestrator

После замены сертификатов vRealize Automation необходимо обновить vRealize Orchestrator, чтобы включить доверие к новым сертификатам.

Компонент vRealize Orchestrator, связанный с развертыванием vRealize Automation, имеет собственные сертификаты и также должен доверять сертификатам vRealize Automation. По умолчанию компонент vRealize Orchestrator встроен в vRealize Automation, хотя некоторые пользователи предпочитают использовать внешний vRealize Orchestrator. В любом случае информацию об обновлении сертификатов vRealize Orchestrator можно найти в документации по vRealize Orchestrator.

Если используется развертывание vRealize Orchestrator с несколькими узлами в подсистеме балансировки нагрузки, все узлы vRealize Orchestrator должны использовать один и тот же сертификат.

Дополнительная информация

Дополнительную информацию об устранении неполадок, поддержке и требованиях к доверию см. в статье 2106583 из базы знаний VMware.