系統管理員可以使用憑證授權機構核發的憑證取代已到期憑證或自我簽署的憑證,以確保分散式部署環境中的安全性。

執行這項作業的原因和時機

您可以在多個機器上使用同一主體別名 (SAN) 憑證。IaaS 元件 (網站和 Manager Service) 所用的憑證必須使用 SAN 值 (包括安裝對應元件之所有 Windows 主機的 FQDN),以及相同元件的負載平衡器 FQDN 核發。

取代憑證有三個選項:

  • 產生憑證 - 使用此選項可讓系統產生自我簽署的憑證。

  • 匯入憑證 - 如果您有想要使用的憑證,請使用此選項。

  • 提供憑證指紋 - 如果您接受 CA 簽署的憑證,但系統不信任該憑證,您必須決定是否接受憑證指紋。指紋用來快速判斷所呈現的憑證是否與另一個憑證 (例如先前接受的憑證) 相同。

此外,您也可以使用 [保留現有] 保留您現有的憑證。

程序

  1. 開啟網頁瀏覽器並進入 vRealize Automation 應用裝置 管理介面 URL。
  2. 以您在部署 vRealize Automation 應用裝置 時指定的使用者名稱 root 及密碼登入。
  3. 選取 vRA 設定 > 憑證
  4. 按一下元件類型功能表上的 IaaS Web
  5. 移至 IaaS Web 憑證窗格。
  6. 憑證動作功能表中選取憑證取代選項。

    如果您要使用 PEM 編碼憑證 (例如,針對分散式環境),請選取匯入

    您匯入的憑證必須受信任,此外還必須能夠透過使用主體別名 (SAN) 憑證,適用於所有 vRealize Automation 應用裝置 執行個體和任何負載平衡器。

    備註︰

    如果使用憑證鏈結,請按下列順序指定憑證:

    1. 中繼 CA 憑證簽署的用戶端/伺服器憑證

    2. 一或多個中繼憑證

    3. 根 CA 憑證

    選項

    說明

    保留現有

    保留目前的 SSL 組態不變。選擇此選項可取消變更。

    產生憑證

    1. 一般名稱文字方塊中顯示的值就是頁面上半部顯示的主機名稱。如果有任何其他可用的 vRealize Automation 應用裝置執行個體,憑證的 SAN 屬性中也會包括其 FQDN。

    2. 組織文字方塊中,輸入您的組織名稱,例如公司名稱。

    3. 組織單位文字方塊中,輸入您的組織單位,例如部門名稱或位置。

    4. 國家/地區文字方塊中,輸入由兩個字母組成的 ISO 3166 國碼,例如 TW

    匯入

    1. 複製從 BEGIN PRIVATE KEY 到 END PRIVATE KEY 的憑證值 (含標頭和註腳),然後將它們貼到 RSA 私密金鑰文字方塊中。

    2. 複製從 BEGIN CERTIFICATE 到 END CERTIFICATE 的憑證值 (含標頭和註腳),然後將它們貼到憑證鏈結文字方塊中。如有多個憑證值,請為每個憑證各加入一個 BEGIN CERTIFICATE 標頭和 END CERTIFICATE 註腳。

      備註︰

      如果是鏈結憑證,可能有其他屬性可用。

    3. (選擇性) 如果您的憑證使用複雜密碼來加密憑證金鑰,請複製該複雜密碼並貼到複雜密碼文字方塊中。

    提供憑證指紋

    如果您要提供憑證指紋以使用 IaaS 伺服器上憑證存放區中已部署的憑證,請使用此選項。使用此選項不會將憑證從虛擬應用裝置傳輸到 IaaS 伺服器。此選項可讓使用者在 IaaS 伺服器上部署現有的憑證,而不需要在管理介面中上傳憑證。

  7. 按一下 [儲存設定]。

    幾分鐘後,頁面上會出現憑證詳細資料。