vRealize Automation Manager Service 主機的公開金鑰 PEM 檔案安裝在正確的客體代理程式資料夾中,是設定客體代理程式以信任伺服器的最安全方法。

針對 Manager Service 主機的 cert.pem PEM 檔案,找到每個範本上的客體代理程式資料夾,以便信任伺服器:

  • 使用 gugent 之每個範本上的 Windows 客體代理程式資料夾

    C:\VRMGuestAgent\cert.pem
  • 使用 gugent 之每個範本上的 Linux 客體代理程式資料夾

    /usr/share/gugent/cert.pem

    如果未將 cert.pem 檔案放在此位置,範本參考機器便無法使用客體代理程式。例如,如果您嘗試在虛擬機器啟動後透過更改指令碼來收集公開金鑰資訊,就會破壞安全性條件。

備註︰

或者,您也可以將客體代理程式設定為在第一次使用時填入受信任的 cert.pem 檔案,但這種方法不如在每個範本上手動安裝 cert.pem 檔案安全。如果您要針對多個伺服器使用單一範本,請考慮此替代方法。若要允許客體代理程式信任其所連線的第一個伺服器,請在 Windows VRMGuestAgent 或 Linux /usr/share/gugent 目錄中建立不含 cert.pem 檔案的範本。客體代理程式會在其第一次連線至伺服器時填入 cert.pem 檔案。

視所設定環境的不同,還存在其他考量事項:

  • 對於 WIM 安裝,必須將公開金鑰 PEM 檔案內容新增至 PEBuilder 主控台可執行檔和使用者介面。主控台旗標為 /cert filename

  • 對於 RedHat kickstart 安裝,必須將公開金鑰剪下並貼到範例檔案中,否則客體代理程式將無法執行。

  • 對於 SCCM 安裝,cert.pem 檔案必須位於 VRMGuestAgent 資料夾。

  • 對於 Linux vSphere 安裝,cert.pem 檔案必須位於 /usr/share/gugent 資料夾。

備註︰

透過從 https://APPLIANCE/software/index.html 下載下列指令碼,您可以選擇性地將軟體和客體代理程式一起安裝。該指令碼可讓您在建立範本時處理 SSL 憑證指紋的接受情況。

  • Linux

    prepare_vra_template.sh

  • Windows

    prepare_vra_template.ps1

如果將軟體和客體代理程式一起安裝,則無需使用在 Linux 參考機器上安裝客體代理程式在 Windows 參考機器上安裝客體代理程式中的指示。

範本永遠信任第一個連線的系統。出於安全性考慮,客體代理程式不會在 Windows VRMGuestAgent 或 Linux /usr/share/gugent 目錄中存在 cert.pem 檔案時對憑證進行檢查。如果伺服器憑證發生變更,您必須將 cert.pem 檔案從 Windows VRMGuestAgent 或 Linux /usr/share/gugent 目錄中移除。客體代理程式會在其下次連線至伺服器時安裝新的 cert.pem 檔案。