Добавление свойства системы позволяет включить алгоритм проверки пути к сертификату для доверенных сертификатов.

При работе с сертификатами для установки SSL- или TLS-соединения с узлом в vRealize Orchestrator теперь используется расширенный путь к сертификату с открытым ключом X.509 (PKIX). Компонент vRealize Orchestrator должен работать без сбоев, если подключение к узлу выполняется с использованием обновленного сертификата, выданного доверенным центром сертификации (ЦС), входящим в хранилище доверия vRealize Orchestrator.

При обновлении сертификата субъекта или нескольких промежуточных сертификатов алгоритм определяет, можно ли доверять сертификату, который еще не определен явно как доверенный.

Примечание: Если включено свойство системы com.vmware.o11n.certPathValidator, проверка сертификатов выполняется более строго в соответствии с RFC5280. После включения алгоритма проверки сертификатов некоторые рабочие процессы, связанные с узлом с помощью доверенного, но устаревшего сертификата, не запустятся, пока проблема с сертификатом не будет устранена. Для этого потребуется указать для конкретного узла действительный и актуальный сертификат и снова добавить его в хранилище доверия vRealize Orchestrator.

Процедура

  1. Войдите в центр управления от имени пользователя root.
  2. Выберите Свойства системы и нажмите кнопку Создать.
  3. В текстовом поле Ключ введите com.vmware.o11n.certPathValidator.
  4. В текстовом поле Значение введите true.
  5. (Необязательно) Добавьте описание свойства системы.
  6. Нажмите кнопку Добавить.
    Появится всплывающее окно.
  7. Чтобы завершить процесс добавления нового свойства системы, во всплывающем окне нажмите Сохранить изменения.
  8. Дождитесь автоматического перезапуска сервера, чтобы изменения вступили в силу.

Результаты

Теперь алгоритм проверки сертификатов включен. Дополнительные сведения об управлении сертификатами vRealize Orchestrator см. в разделе Управление сертификатами vRealize Orchestrator.

Дальнейшие действия

Если в развертывании vRealize Orchestrator в качестве поставщика проверки подлинности используется vSphere и вы меняете сертификат vCenter, необходимо перезапустить модуль vRealize Orchestrator, чтобы в среде использовался новый сертификат. Чтобы перезапустить модуль, выполните следующую процедуру.

  1. Войдите в vRealize Orchestrator Appliance как пользователь root.
  2. Выполните следующие команды:
    kubectl -n prelude scale deployment vco-app --replicas=0
    kubectl -n prelude scale deployment vco-app --replicas=1 
    Примечание: Для кластерных развертываний vRealize Orchestrator замените вторую команду следующей:
    kubectl -n prelude scale deployment vco-app --replicas=3