Como parte do processo pós-instalação, talvez você queira configurar seus certificados SSL (Secure Sockets Layer). A configuração de certificados SSL é opcional ao instalar o Automation Config, mas recomendada.
Antes de começar
A configuração dos certificados SSL é uma etapa pós-instalação de uma série de várias etapas que devem ser seguidas em uma ordem específica. Primeiro, conclua um dos cenários de instalação e depois leia as seguintes páginas pós-instalação:
Instalar e configurar certificados SSL
Para criar os certificados SSL:
- O pacote
python36-pyOpenSSL
é necessário para configurar o SSL após a instalação. Normalmente, essa etapa é concluída antes da instalação. Caso não tenha sido possível concluí-la antes da instalação, você pode fazer isso agora. Para obter instruções sobre como verificar e instalar essa dependência, consulte Dependências obrigatórias do Automation Config. - Crie e de defina permissões para a pasta de certificados do serviço RaaS.
sudo mkdir -p /etc/raas/pki sudo chown raas:raas /etc/raas/pki sudo chmod 750 /etc/raas/pki
- Gere chaves para o serviço RaaS usando o Salt ou forneça a sua própria.
sudo salt-call --local tls.create_self_signed_cert tls_dir=raas sudo chown raas:raas /etc/pki/raas/certs/localhost.crt sudo chown raas:raas /etc/pki/raas/certs/localhost.key sudo chmod 400 /etc/pki/raas/certs/localhost.crt sudo chmod 400 /etc/pki/raas/certs/localhost.key
- Para ativar conexões SSL com a interface de usuário do Automation Config, gere um certificado SSL codificado em PEM ou certifique-se de ter acesso a um certificado codificado em PEM existente.
- Salve os arquivos
.crt
e.key
gerados na etapa anterior em/etc/pki/raas/certs
no nó RaaS. - Atualize a configuração do serviço RaaS abrindo
/etc/raas/raas
em um editor de texto. Configure os seguintes valores, substituindo<filename>
pelo nome do arquivo de certificados SSL:tls_crt:/etc/pki/raas/certs/<filename>.crt tls_key:/etc/pki/raas/certs/<filename>.key port:443
- Reinicie o serviço RaaS.
sudo systemctl restart raas
- Verifique se o serviço RaaS está em execução.
sudo systemctl status raas
- Confirme que você pode se conectar à interface de usuário em um navegador da Web, navegando até a URL personalizada do Automation Config da sua organização e inserindo suas credenciais. Para obter mais informações sobre como fazer login, consulte Fazer login pela primeira vez e alterar as credenciais padrão.
Seus certificados SSL para o Automation Config estão agora configurados.
Atualizando certificados SSL
Instruções para atualizar certificados SSL do Automation Config estão disponíveis na base de conhecimento da VMware. Para obter mais informações, consulte Como atualizar certificados SSL para o Automation Config.
Solução de problemas de ambientes Automation Config com o VMware Aria Automation que usam certificados autoassinados
Estas informações são para os clientes trabalham com implantações do VMware Aria Automation que usam um certificado assinado por uma autoridade de certificação não padrão.
O Automation Config pode apresentar os seguintes sintomas:
- Quando você abre o VMware Aria Automation pela primeira vez, o navegador da Web exibe um aviso de segurança ao lado da URL ou na página de exibição informando que não é possível validar o certificado.
- Ao tentar abrir a interface do usuário do Automation Config no seu navegador, você recebe um erro 403 ou uma tela em branco.
Esses sintomas podem acontecer quando sua implantação do VMware Aria Automation está usando um certificado assinado por uma autoridade de certificação não padrão. Para verificar se isso está fazendo com que o Automation Config exiba uma tela em branco, conecte-se via SSH ao nó que está hospedando o Automation Config e examine o arquivo de log do RaaS (/var/log/raas/raas
). Ao encontrar uma mensagem de erro de traceback que indica que certificados autoassinados não são permitidos, há duas opções que você pode tentar resolver o problema.
Como melhor prática de segurança, você nunca deve configurar um ambiente de produção para usar certificados autoassinados ou certificados assinados incorretamente para autenticar o VMware Aria Automation ou o Automation Config. A prática recomendada é usar certificados de autoridades de certificação confiáveis.
Se você optar por usar certificados autoassinados ou assinados incorretamente, poderá colocar seu sistema em risco grave de sofrer uma violação de segurança. Proceda com cuidado ao usar esse procedimento.
Se você se deparar com esse problema e seu ambiente precisar continuar usando um certificado assinado por uma autoridade de certificação não padrão, haverá duas opções disponíveis.
A primeira opção é adicionar a autoridade de certificação (certificate authority, CA) raiz do VMware Aria Automation ao ambiente Automation Config. A segunda opção é desativar a validação de certificado do VMware Aria Automation no Automation Config.
Adicionar a autoridade de certificação (CA) raiz do vRealize Automation ao ambiente Automation Config
Esse procedimento requer:
- Acesso raiz
- A capacidade de usar SSH no servidor RaaS
Como boas práticas de segurança adicionais, apenas os indivíduos mais confiáveis e experientes da sua organização devem ter esse nível de acesso. Tenha cuidado para restringir o acesso raiz ao seu ambiente.
Você pode achar mais fácil criar uma autoridade de certificação privada e assinar seus próprios certificados do VMware Aria Automation com essa autoridade de certificação em vez de usar certificados autoassinados. A vantagem dessa abordagem é que você só precisa passar por esse processo uma vez para cada certificado do VMware Aria Automation necessário. Caso contrário, você teria que passar por esse processo para cada certificado do vRealize Automation criado. Para obter mais informações sobre como criar uma autoridade de certificação privada, consulte Como assinar uma solicitação de certificado com sua própria autoridade de certificação (Stack Overflow).
Para adicionar um certificado assinado por uma autoridade de certificação não padrão à lista de autoridades de certificação no Automation Config:
- Tente abrir a interface da Web do vRealize Automation existente no navegador. O certificado deve mostrar uma mensagem de aviso na janela do navegador e na exibição da URL.
- Execute o seguinte script que obtém e instala o certificado, substituindo
<vra_fqdn>
pelo seu FQDN do VMware Aria Automation:echo -n | openssl s_client -connect <vra_fqdn>:443 -showcerts | tac | sed -ne '1,/-BEGIN CERTIFICATE-/p' | tac | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' | tee -a /etc/pki/tls/certs/ca-bundle.crt && sed -i.bak '/ExecStart\=/iEnvironment=REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt' /usr/lib/systemd/system/raas.service && systemctl daemon-reload && systemctl stop raas && rm /var/log/raas/raas && systemctl start raas && echo -e 'Starting RaaS Service and tailing the log to see if errors persist. \n Please Wait' && sleep 10 && echo -e 'Relaunch the web browser and navigate to the vRASSC login page and monitor this screen for further errors.\n CTRL+C to exit the tail' && tail -f /var/log/raas/raas
- Verifique se essa solução resolveu o problema fazendo login na interface da Web do Automation Config. Se o problema foi resolvido, o Automation Config exibirá a página Dashboard.
Desativar validação de certificado
Para desativar a validação de certificado no Automation Config:
- Abra o arquivo de configuração RaaS no nó RaaS, que é armazenado em
/etc/raas/raas
. - Na configuração
vra
, defina o valor devalidate_ssl
comofalse
. - Execute
systemctl restart raas
para reiniciar o serviço RaaS. - Verifique se essa solução resolveu o problema fazendo login na interface da Web do Automation Config. Se o problema foi resolvido, o Automation Config exibirá a página Dashboard.
O que fazer em seguida
Após a configuração de certificados SSL, talvez seja necessário concluir etapas adicionais pós-instalação.
Se você for um cliente do Automation for Secure Hosts, a próxima etapa será configurar esses serviços. Para obter mais informações, consulte Configurar o Automation for Secure Hosts.
Se você tiver concluído todas as etapas de pós-instalação necessárias, a próxima etapa será integrar o Automation Config ao VMware Aria Automation for Secure Hosts. Consulte Configurar uma integração do Automation Config no Aria Automation para obter mais informações.