Antes de começar

A configuração dos certificados SSL é uma etapa pós-instalação de uma série de várias etapas que devem ser seguidas em uma ordem específica. Primeiro, conclua um dos cenários de instalação e depois leia as seguintes páginas pós-instalação:

• Instalar a chave de licença
• Instalar e configurar o Master Plugin
• Verificar o arquivo de configuração do RaaS
• Fazer login pela primeira vez e alterar as credenciais padrão
• Aceitar a chave do mestre Salt e fazer backup dos dados

Instalar e configurar certificados SSL

Para criar os certificados SSL:

1. O pacote python36-pyOpenSSL é necessário para configurar o SSL após a instalação. Normalmente, essa etapa é concluída antes da instalação. Caso não tenha sido possível concluí-la antes da instalação, você pode fazer isso agora. Para obter instruções sobre como verificar e instalar essa dependência, consulte Instalar ou fazer upgrade do Salt.
2. Crie e de defina permissões para a pasta de certificados do serviço RaaS.

   sudo mkdir -p /etc/raas/pki
   sudo chown raas:raas /etc/raas/pki
   sudo chmod 750 /etc/raas/pki

3. Gere chaves para o serviço RaaS usando o Salt ou forneça a sua própria.

   sudo salt-call --local tls.create_self_signed_cert tls_dir=raas
   sudo chown raas:raas /etc/pki/raas/certs/localhost.crt
   sudo chown raas:raas /etc/pki/raas/certs/localhost.key
   sudo chmod 400 /etc/pki/raas/certs/localhost.crt
   sudo chmod 400 /etc/pki/raas/certs/localhost.key

4. Para ativar conexões SSL com a interface de usuário do SaltStack Config, gere um certificado SSL codificado em PEM ou certifique-se de ter acesso a um certificado codificado em PEM existente.
5. Salve os arquivos .crt e .key gerados na etapa anterior em /etc/pki/raas/certs no nó RaaS.
6. Atualize a configuração do serviço RaaS abrindo /etc/raas/raas em um editor de texto. Configure os seguintes valores, substituindo <filename> pelo nome do arquivo de certificados SSL:

   tls_crt:/etc/pki/raas/certs/<filename>.crt
   tls_key:/etc/pki/raas/certs/<filename>.key
   port:443

7. Reinicie o serviço RaaS.

   sudo systemctl restart raas

8. Verifique se o serviço RaaS está em execução.

   sudo systemctl status raas

9. Confirme que você pode se conectar à interface de usuário em um navegador da Web, navegando até a URL personalizada do SaltStack Config da sua organização e inserindo suas credenciais. Para obter mais informações sobre como fazer login, consulte Fazer login pela primeira vez e alterar as credenciais padrão.

Seus certificados SSL para o SaltStack Config estão agora configurados.

Atualizando certificados SSL

Instruções para atualizar certificados SSL do SaltStack Config estão disponíveis na base de conhecimento da VMware. Para obter mais informações, consulte Como atualizar certificados SSL para o SaltStack Config.

Solução de problemas de ambientes do SaltStack Config com o vRealize Automation que usam certificados autoassinados

Essa solução alternativa é para clientes que estão trabalhando com implantações do vRealize Automation que usam um certificado assinado por uma autoridade de certificação não padrão.

O SaltStack Config pode apresentar os seguintes sintomas:

• Quando você abre o vRealize Automation pela primeira vez, o navegador da Web exibe um aviso de segurança ao lado da URL ou na página de exibição informando que não é possível validar o certificado.
• Ao tentar abrir a interface do usuário do SaltStack Config no seu navegador, você recebe um erro 403 ou uma tela em branco.

Esses sintomas podem acontecer quando sua implantação do vRealize Automation está usando um certificado assinado por uma autoridade de certificação não padrão. Para verificar se isso está fazendo com que o SaltStack Config exiba uma tela em branco, conecte-se via SSH ao nó que está hospedando o SaltStack Config e examine o arquivo de log do RaaS (/var/log/raas/raas). Se você encontrar uma mensagem de erro de rastreamento indicando que certificados autoassinados não são permitidos, a seguinte solução alternativa poderá resolver esse problema.

Se você tiver esse problema e seu ambiente precisar continuar usando um certificado assinado por uma autoridade de certificação não padrão, a solução é adicionar a CA de certificado do vRealize Automation ao seu ambiente do SaltStack Config, conforme explicado na solução alternativa a seguir.

Esta solução alternativa requer o seguinte:

• Acesso raiz
• A capacidade de usar SSH no servidor RaaS

Você pode achar mais fácil criar uma autoridade de certificação privada e assinar seus próprios certificados do vRealize Automation com essa autoridade de certificação em vez de usar certificados autoassinados. A vantagem dessa abordagem é que você só precisa passar por esse processo uma vez para cada certificado do vRealize Automation necessário. Caso contrário, você teria que passar por esse processo para cada certificado do vRealize Automation criado. Para obter mais informações sobre como criar uma autoridade de certificação privada, consulte Como assinar uma solicitação de certificado com sua própria autoridade de certificação (Stack Overflow).

Para adicionar um certificado assinado por uma autoridade de certificação não padrão à lista de autoridades de certificação no SaltStack Config:

1. Tente abrir a interface Web do vRealize Automation no navegador. O certificado deve mostrar uma mensagem de aviso na janela do navegador e na exibição da URL.
2. Baixe o certificado necessário.
   • Para navegadores Chrome: clique no aviso Não Seguro na URL para abrir um menu. Selecione Certificado (inválido). Arraste o certificado ausente até o explorador de arquivos ou localizador do seu computador local para salvá-lo. Escolha o signatário do certificado (CA), se estiver disponível. Clique no ícone do certificado e arraste-o até o explorador de arquivos do seu computador local. Se a extensão do arquivo não for .pem (.crt .cer .der), use o seguinte comando para convertê-lo no formato .pem: openssl x509 -inform der -in certificate.cer -out certificate.pem
   • Para os navegadores Firefox: clique no ícone de aviso na exibição da URL para abrir um menu. Selecione Conexão não segura > Mais informações. Na caixa de diálogo, clique em Exibir certificado. Clique no certificado ausente para baixá-lo no sistema de arquivos do computador local.
3. Se você ainda não tiver feito isso, conecte-se via SSH ao servidor RaaS.
4. Anexe o arquivo de certificado ao final do arquivo neste diretório: /etc/pki/tls/certs/ca-bundle.crt. Você pode anexar o certificado ao final do arquivo usando o seguinte comando, substituindo o arquivo de exemplo pelo seu nome de arquivo real:

   cat <certificate-file>.crt  >> /etc/pki/tls/certs/ca-bundle.crt

   Observação:

   Você também pode copiar arquivos com a extensão .pem usando este comando.

5. Navegue até o diretório /usr/lib/systemd/system e abra o arquivo raas.service no editor. Adicione a seguinte linha a este arquivo em qualquer lugar acima da linha ExecStart:

   Environment=REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt

6. Recarregue o daemon e reinicie o RaaS usando estes comandos:

   systemctl daemon-reload
   systemctl stop raas
   rm /var/log/raas/raas
   systemctl start raas
   tail -f /var/log/raas/raas

   Observação:

   Use tail -f /var/log/raas/raas para mostrar o arquivo de log do RaaS em exibição contínua, o que pode ajudar na solução de problemas.

7. Verifique se essa solução resolveu o problema fazendo login na interface da Web do SaltStack Config. Se o problema foi resolvido, o SaltStack Config exibirá a página Dashboard.

O que fazer em seguida

Após a configuração de certificados SSL, talvez seja necessário concluir etapas adicionais pós-instalação.

Se você for um cliente do SaltStack SecOps, a próxima etapa será configurar esses serviços. Para obter mais informações, consulte Configurar o SaltStack SecOps.

Se você tiver concluído todas as etapas de pós-instalação necessárias, a próxima etapa será integrar o SaltStack Config ao vRealize Automation SaltStack SecOps. Consulte Criar uma integração do SaltStack Config com o vRealize Automation para obter mais informações.