Como parte do processo pós-instalação, talvez você queira configurar seus certificados SSL (Secure Sockets Layer). A configuração de certificados SSL é opcional ao instalar o SaltStack Config, mas recomendada.

Antes de começar

A configuração dos certificados SSL é uma etapa pós-instalação de uma série de várias etapas que devem ser seguidas em uma ordem específica. Primeiro, conclua um dos cenários de instalação e depois leia as seguintes páginas pós-instalação:

Instalar e configurar certificados SSL

Para criar os certificados SSL:

  1. O pacote python36-pyOpenSSL é necessário para configurar o SSL após a instalação. Normalmente, essa etapa é concluída antes da instalação. Caso não tenha sido possível concluí-la antes da instalação, você pode fazer isso agora. Para obter instruções sobre como verificar e instalar essa dependência, consulte Dependências necessárias do SaltStack Config.
  2. Crie e de defina permissões para a pasta de certificados do serviço RaaS.
    sudo mkdir -p /etc/raas/pki
sudo chown raas:raas /etc/raas/pki
sudo chmod 750 /etc/raas/pki
  3. Gere chaves para o serviço RaaS usando o Salt ou forneça a sua própria.
    sudo salt-call --local tls.create_self_signed_cert tls_dir=raas
sudo chown raas:raas /etc/pki/raas/certs/localhost.crt
sudo chown raas:raas /etc/pki/raas/certs/localhost.key
sudo chmod 400 /etc/pki/raas/certs/localhost.crt
sudo chmod 400 /etc/pki/raas/certs/localhost.key
  4. Para ativar conexões SSL com a interface de usuário do SaltStack Config, gere um certificado SSL codificado em PEM ou certifique-se de ter acesso a um certificado codificado em PEM existente.
  5. Salve os arquivos .crt e .key gerados na etapa anterior em /etc/pki/raas/certs no nó RaaS.
  6. Atualize a configuração do serviço RaaS abrindo /etc/raas/raas em um editor de texto. Configure os seguintes valores, substituindo <filename> pelo nome do arquivo de certificados SSL:
    tls_crt:/etc/pki/raas/certs/<filename>.crt
tls_key:/etc/pki/raas/certs/<filename>.key
port:443
  7. Reinicie o serviço RaaS.
    sudo systemctl restart raas
  8. Verifique se o serviço RaaS está em execução.
    sudo systemctl status raas
  9. Confirme que você pode se conectar à interface de usuário em um navegador da Web, navegando até a URL personalizada do SaltStack Config da sua organização e inserindo suas credenciais. Para obter mais informações sobre como fazer login, consulte Fazer login pela primeira vez e alterar as credenciais padrão.

Seus certificados SSL para o SaltStack Config estão agora configurados.

Atualizando certificados SSL

Instruções para atualizar certificados SSL do SaltStack Config estão disponíveis na base de conhecimento da VMware. Para obter mais informações, consulte Como atualizar certificados SSL para o SaltStack Config.

Solução de problemas de ambientes SaltStack Config com o vRealize Automation que usam certificados autoassinados

Estas informações são para os clientes trabalham com implantações do vRealize Automation que usam um certificado assinado por uma autoridade de certificação não padrão.

O SaltStack Config pode apresentar os seguintes sintomas:

  • Quando você abre o vRealize Automation pela primeira vez, o navegador da Web exibe um aviso de segurança ao lado da URL ou na página de exibição informando que não é possível validar o certificado.
  • Ao tentar abrir a interface do usuário do SaltStack Config no seu navegador, você recebe um erro 403 ou uma tela em branco.

Esses sintomas podem acontecer quando sua implantação do vRealize Automation está usando um certificado assinado por uma autoridade de certificação não padrão. Para verificar se isso está fazendo com que o SaltStack Config exiba uma tela em branco, conecte-se via SSH ao nó que está hospedando o SaltStack Config e examine o arquivo de log do RaaS (/var/log/raas/raas). Ao encontrar uma mensagem de erro de traceback que indica que certificados autoassinados não são permitidos, há duas opções que você pode tentar resolver o problema.

Observação:

Como melhor prática de segurança, você nunca deve configurar um ambiente de produção para usar certificados autoassinados ou certificados assinados incorretamente para autenticar o vRealize Automation ou o SaltStack Config. A prática recomendada é usar certificados de autoridades de certificação confiáveis.

Se você optar por usar certificados autoassinados ou assinados incorretamente, poderá colocar seu sistema em risco grave de sofrer uma violação de segurança. Proceda com cuidado ao usar esse procedimento.

Se você se deparar com esse problema e seu ambiente precisar continuar usando um certificado assinado por uma autoridade de certificação não padrão, haverá duas opções disponíveis.

A primeira opção é adicionar a autoridade de certificação (certificate authority, CA) raiz do vRealize Automation ao ambiente SaltStack Config. A segunda opção é desativar a validação de certificado do vRealize Automation no SaltStack Config.

Adicionar a autoridade de certificação (CA) raiz do vRealize Automation ao ambiente SaltStack Config

Esse procedimento requer:

  • Acesso raiz
  • A capacidade de usar SSH no servidor RaaS
Observação:

Como boas práticas de segurança adicionais, apenas os indivíduos mais confiáveis e experientes da sua organização devem ter esse nível de acesso. Tenha cuidado para restringir o acesso raiz ao seu ambiente.

Você pode achar mais fácil criar uma autoridade de certificação privada e assinar seus próprios certificados do vRealize Automation com essa autoridade de certificação em vez de usar certificados autoassinados. A vantagem dessa abordagem é que você só precisa passar por esse processo uma vez para cada certificado do vRealize Automation necessário. Caso contrário, você teria que passar por esse processo para cada certificado do vRealize Automation criado. Para obter mais informações sobre como criar uma autoridade de certificação privada, consulte Como assinar uma solicitação de certificado com sua própria autoridade de certificação (Stack Overflow).

Para adicionar um certificado assinado por uma autoridade de certificação não padrão à lista de autoridades de certificação no SaltStack Config:

  1. Tente abrir a interface da Web do vRealize Automation existente no navegador. O certificado deve mostrar uma mensagem de aviso na janela do navegador e na exibição da URL.
  2. Execute o seguinte script que obtém e instala o certificado, substituindo <vra_fqdn> pelo seu FQDN do vRealize Automation:
    echo -n | openssl s_client -connect <vra_fqdn>:443 -showcerts | tac | sed -ne '1,/-BEGIN CERTIFICATE-/p' | tac | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' | tee -a /etc/pki/tls/certs/ca-bundle.crt && sed -i.bak '/ExecStart\=/iEnvironment=REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt' /usr/lib/systemd/system/raas.service && systemctl daemon-reload && systemctl stop raas && rm /var/log/raas/raas && systemctl start raas && echo -e 'Starting RaaS Service and tailing the log to see if errors persist. \n Please Wait' && sleep 10 && echo -e 'Relaunch the web browser and navigate to the vRASSC login page and monitor this screen for further errors.\n CTRL+C to exit the tail' && tail -f /var/log/raas/raas
  3. Verifique se essa solução resolveu o problema fazendo login na interface da Web do SaltStack Config. Se o problema foi resolvido, o SaltStack Config exibirá a página Dashboard.

Desativar validação de certificado

Para desativar a validação de certificado no SaltStack Config:

Cuidado: Desativar a validação de certificado não é uma opção de implantação de produção recomendada ou permitida no SaltStack Config. A validação de certificado reforça a segurança e deve ser a sua prática padrão. Como uma opção de implantação não recomendada, a VMware não presta assistência na desativação da validação de certificado nem em caso de problemas decorrentes dessa opção de implantação. Se você desativar esse recurso, será por sua própria conta e risco.
  1. Abra o arquivo de configuração RaaS no nó RaaS, que é armazenado em /etc/raas/raas.
  2. Na configuração vra, defina o valor de validate_ssl como false.
  3. Execute systemctl restart raas para reiniciar o serviço RaaS.
  4. Verifique se essa solução resolveu o problema fazendo login na interface da Web do SaltStack Config. Se o problema foi resolvido, o SaltStack Config exibirá a página Dashboard.

O que fazer em seguida

Após a configuração de certificados SSL, talvez seja necessário concluir etapas adicionais pós-instalação.

Se você for um cliente do SaltStack SecOps, a próxima etapa será configurar esses serviços. Para obter mais informações, consulte Configurar o SaltStack SecOps.

Se você tiver concluído todas as etapas de pós-instalação necessárias, a próxima etapa será integrar o SaltStack Config ao vRealize Automation SaltStack SecOps. Consulte Configurar uma integração do SaltStack Config no vRealize Automation para obter mais informações.