Actualizar los certificados de vRealize Automation

August 12, 2016 by
Gonzalez Marinsalda, Ignacio

vRealize Automation es un producto increíblemente poderoso y con un gran potencial.
Desafortunadamente a veces se complica encontrar material para hacer troubleshooting.
Hace poco tuvimos que renovar los certificados de la plataforma de un cliente, tras una búsqueda exhaustiva pude encontrar un procedimiento que me dió resultado y hoy lo comparto con ustedes.

Por lo general, vamos a cambiar los certificados en alguno de los siguientes casos:
-Para reemplazar certificados de tipo “Self Signed”
-Para evitar que expiren los certificados de la Plataforma
-Para reemplazar certificados expirados.

Es importante tener en cuenta que los certificados de todos los componentes de la solución deben ser reemplazados al mismo tiempo y en un orden lógico como se detalla a continuación:

 

  1. Identity Appliance
  2. vRealize Appliance
  3. Componentes de IaaS

Certificados:
vRealize Automation soporta certificados encriptados con SHA1 y SHA2, estos deben utilizar el formato PEM.

En la siguiente imagen podemos observar 3 archivos emitidos por una CA interna.

Certificados
– test_Certificate que es certificado encriptado (mas tarde lo usaremos en el campo Certificate Chain)
– test_Certificate.des.key que es la clave privada del certificado (mas tarde lo usaremos en el campo RSA private key) -passphrase (OPCIONAL) es una medida de seguridad adicional. Por defecto vRA no lo necesita pero se puede sumar.


Actualizar los certificados en Identity Appliance.

  1. En un browser entramos a HTTPS://IDENTITY-APP-FQDN:5480
  2. Log In con el usuario Root
  3. Navegamos a la ventana SSO
  4. Seleccionamos la Opción Use PEM Encoded Certificate
  5. Abrimos el archivo de clave privada (test_Certificate.des.key en mi caso) en un editor de textos y copiamos todo el contenido al cuadro titulado RSA Private Key.
  6. Abrimos el certificado (test_Certficate en mi caso) con un editor de textos y copiamos todo el contenido al cuadro titulado Certificate Chain.
  7. (Opcional) Si el certificado tiene un Pass Phrase lo copiamos en el cuadro de texto que dice Pass Phrase.
  8. Click en Apply Settings

Identity Appliance


Nota: Si nos aparece el error Unable to load certificate significa que estamos pegando los certificados en el lugar incorrecto o que el certificado tiene una Pass Phrase.

Actualizar los certificados en el Appliance de vRealize Automation:

Nota: Es importante que esta tarea se actualice en todos los appliances de vRA, como mejor practica es ideal que los appliances estén redundados en un cluster activo-activo.

  1. En un browser entramos a HTTPS://VREALIZE-APPLIANCE-FQDN:5480
  2. Log In con el usuario Root
  3. Click en vRA Settings y luego en Host Settings
  4. Vamos a SSL Configuration
  5. Seleccionamos la Opción Use PEM Encoded Certificate
  6. Abrimos el archivo de clave privada (test_Certificate.des.key en mi caso) en un editor de textos y copiamos todo el contenido al cuadro titulado RSA Private Key.
  7. Abrimos el certificado (test_Certficate en mi caso) con un editor de textos y copiamos todo el contenido al cuadro titulado Certificate Chain.
  8. (Opcional) Si el certificado tiene un Pass Phrase lo copiamos en el cuadro de texto que dice Pass Phrase.
  9. Click en Save Settings

vRealize Appliance

Actualizar los componentes de IaaS:
Nota: para la actualización de estos certificados vamos a tomar los certificados del vRealize Automation Appliance y los vamos a importar hacia el IaaS Manager.

Es importante que conozcamos el nombre de la Base de Datos de vRA y el hostname de el servidor de base de datos de la solución.

1. Abrir el directorio Café de la solución. Por defecto podemos ubicarlo en: C:\Program Files (x86)\VMware\vCAC\Server\Model Manager Data\Cafe

  1. Ingresamos el siguiente comando para actualizar la base de datos con el certificado correspondiente en un solo paso, es importante que luego del parametro -d ingresemos el nombre de la base de datos y despues del parametro -s el FQDN de el servidor de base de datos.
    vcac-Config.exe UpdateServerCertificates -d vcac_database -s sql_database_server -v
  2. Abrimos un browser y entramos por IP o FQDN a al appliance de vRA
  3. Deberíamos ver un certificado HTTPS, hacemos click en View details.
    Deberíamos ver algo similar a esto.Certificado

       5. Hacemos click en Install Certificate.


Para poder finalizar el caso es necesario hacer un reboot de toda la plataforma