您可以透過新增系統內容,針對受信任的憑證啟用憑證路徑驗證演算法。
現在,當 vRealize Orchestrator 使用憑證與主機建立 SSL 或 TLS 連線時,會使用增強型公開金鑰基礎結構 X.509 (PKIX) 憑證路徑。在與主機建立連線時,如果其受信任憑證授權機構 (CA) 所核發的更新憑證包含在 vRealize Orchestrator 信任存放區中時,vRealize Orchestrator 必須不間斷地工作。
如果主體憑證或某些中繼憑證已更新,則該演算法會針對是否可以信任任何尚未明確信任的憑證,做出明智的信任決策。
備註: 啟用
com.vmware.o11n.certPathValidator 系統內容,會使憑證驗證更嚴格,並根據
RFC5280 進行驗證。啟用憑證驗證演算法後,與具有受信任但已過期憑證的主機相關聯的一些工作流程將開始失敗,直到透過更新特定主機以使用有效且最新的憑證,將其重新新增到
vRealize Orchestrator 信任存放區來解決憑證問題為止。
程序
結果
憑證驗證演算法現已啟用。如需有關管理 vRealize Orchestrator 憑證的詳細資訊,請參閱管理 vRealize Orchestrator 憑證。
下一步
如果您的 vRealize Orchestrator 部署使用 vSphere 作為驗證提供者,且變更了 vCenter 憑證,則必須重新啟動 vRealize Orchestrator 網繭,以便讓環境可以使用新憑證。若要重新啟動網繭,請使用以下程序:
- 以根身分登入 vRealize Orchestrator Appliance。
- 執行下列命令:
kubectl -n prelude scale deployment vco-app --replicas=0 kubectl -n prelude scale deployment vco-app --replicas=1
備註: 對於叢集化 vRealize Orchestrator 部署,將第二個命令取代為:kubectl -n prelude scale deployment vco-app --replicas=3