При обновлении или изменении Устройство vRealize Automation или сертификатов инфраструктуры как услуги необходимо настроить в vRealize Orchestrator доверие к новым или обновленным сертификатам.

Данная процедура относится ко всем развертываниям vRealize Automation, в которых используется встроенная копия vRealize Orchestrator. При использовании внешнего экземпляра vRealize Orchestrator см. раздел Включение во внешнем vRealize Orchestrator доверия к сертификатам vRealize Automation..

Примечание: Эта процедура сбрасывает настройки аутентификации арендатора и группы пользователей к значениям по умолчанию. Если вы проводили индивидуальную настройку аутентификации, сохраните информацию об имеющихся настройках, чтобы после завершения процедуры можно было настроить аутентификацию заново.

Сведения об обновлении и замене сертификатов vRealize Orchestrator см. в документации vRealize Orchestrator.

В кластерной конфигурации необходимо выполнить эту процедуру на основном узле устройства vRealize Automation, а затем выполнить команду join-cluster для основного узла на каждом узле-реплике устройства vRealize Automation.
Примечание: В кластере необходимо остановить службу vco-configurator на всех узлах-репликах вплоть до завершения процедуры, чтобы избежать нежелательной автоматической синхронизации центра управления.

При замене или обновлении сертификатов vRealize Automation без выполнения этой процедуры центр управления vRealize Orchestrator может оказаться недоступен и в файлах журнала vco-server и vco-configurator могут появиться ошибки.

Кроме того, ошибки при обновлении сертификатов могут появиться, если vRealize Orchestratorнастроен на аутентификацию для иного арендатора и группы пользователей, нежели vRealize Automation. Дополнительные сведения см. в статье базы знаний VMware об исключении цепочки недоверенных сертификатов после замены сертификатов vRA (2147612.

Описанный здесь синтаксис команды настройки доверия приведен для примера и не является исчерпывающим. Несмотря на то что такой синтаксис подходит для большинства типичных развертываний, в отдельных случаях может потребоваться поэкспериментировать с различными вариациями команд.

  • Если задан параметр --certificate, необходимо указать путь к допустимому файлу сертификата в формате PEM.
  • Если задан параметр --uri, необходимо указать URI, от которого команда может получить доверенный сертификат.
  • Если задан параметр --registry-certificate, необходимо указать, что запрашиваемый сертификат должен обрабатываться как сертификат для реестра компонентов, а доверенный сертификат добавляется в доверенное хранилище под псевдонимом, который используется сертификатом реестра компонента.

Также можно управлять сертификатами с помощью рабочих процессов диспетчера доверия SSL в vRealize Orchestrator. Информацию см. в разделе Управление сертификатами Orchestrator в документации по vRealize Orchestrator.

Процедура

  1. Остановите сервер vRealize Orchestrator и службы центра управления.
    service vco-server stop
    service vco-configurator stop
  2. Сбросьте поставщика проверки подлинности vRealize Orchestrator, выполнив следующую команду.
    /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh reset-authentication
    ls -l /etc/vco/app-server/
    mv /etc/vco/app-server/vco-registration-id /etc/vco/app-server/vco-registration-id.old
    vcac-vami vco-service-reconfigure
  3. Проверьте доверенный сертификат для доверенного хранилища vRealize Orchestrator с помощью программы интерфейса командной строки, которая находится в папке /var/lib/vco/tools/configuration-cli/bin, выполнив следующую команду.
    /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh list-trust
    • Проверьте сертификат с помощью следующего псевдонима: vco.cafe.component-registry.ssl.certificate. Это должен быть сертификат vRealize Automation, который используется экземпляром vRealize Orchestrator в качестве поставщика проверки подлинности.
    • Этот сертификат должен совпадать с только что настроенным сертификатом vRealize Automation. Если он не совпадает, его можно изменить следующим образом.
      1. а.Скопируйте PEM-файл сертификата устройства, подписанный vRealize Automation, в папку /tmp на устройстве.
      2. б.Выполните следующую команду, добавив соответствующий путь сертификата.
        ./vro-configure.sh trust --certificate path-to-the-certificate-file-in-PEM-format--registry-certificate
        См. приведенный ниже пример команды.
        /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh trust --certificate /var/tmp/test.pem --registry-certificate
  4. Возможно, потребуется выполнить следующие команды, чтобы сделать сертификат доверенным.
    /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh trust --uri https://vra.domain.com
    
    /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh trust --registry-certificate --uri https://vra.domain.com
  5. Убедитесь, что сертификат vRealize Automation теперь вставляется в доверенное хранилище vRealize Orchestrator, выполнив следующую команду.
    /var/lib/vco/tools/configuration-cli/bin/vro-configure.sh list-trust
  6. Запуск сервера vRealize Orchestrator и служб центра управления.
    service vco-server start
    service vco-configurator start

Дальнейшие действия

Можно проверить, обновлены ли отношения доверия в кластерной системе.

  1. Выполните вход в интерфейс управления виртуальным устройством с учетными данными пользователя root.
  2. Перейдите на страницу «Службы» (Services).
  3. Убедитесь, что в списке нет дублирующихся служб vCO.

    Если в списке есть дублирующиеся службы vCO, выберите Отменить регистрацию, чтобы удалить службы, которым не назначено состояние Registered.

  4. Убедитесь, что служба vco-configurator запущена на всех узлах виртуального устройства.
  5. Войдите в центр управления vRealize Orchestrator и перейдите на страницу «Проверка конфигурации» (Validate Configuration), чтобы проверить конфигурацию.
  6. Перейдите на страницу «Поставщик проверки подлинности» (Authentication Provider) и убедитесь в том, что параметры проверки подлинности заданы правильно.

    На этой странице также можно протестировать учетные данные для входа.