开始前

设置 SSL 证书是应按特定顺序执行一系列步骤中的一个安装后步骤。首先，完成其中一个安装方案，然后阅读以下安装后页面：

• 安装许可证密钥
• 安装并配置主节点插件
• 检查 RaaS 配置文件
• 首次登录并更改默认凭据
• 接受 Salt 主节点密钥并备份数据

设置并配置 SSL 证书

要创建 SSL 证书，请执行以下操作：

1. 要在安装后配置 SSL，必须安装 python36-pyOpenSSL 软件包。此步骤通常在安装之前完成。如果在安装之前无法安装，可以现在安装。有关检查和安装此依赖项的说明，请参见安装或升级 Salt。
2. 为 RaaS 服务的证书文件夹创建并设置权限。

   sudo mkdir -p /etc/raas/pki
   sudo chown raas:raas /etc/raas/pki
   sudo chmod 750 /etc/raas/pki

3. 使用 Salt 为 RaaS 服务生成密钥，或提供您自己的密钥。

   sudo salt-call --local tls.create_self_signed_cert tls_dir=raas
   sudo chown raas:raas /etc/pki/raas/certs/localhost.crt
   sudo chown raas:raas /etc/pki/raas/certs/localhost.key
   sudo chmod 400 /etc/pki/raas/certs/localhost.crt
   sudo chmod 400 /etc/pki/raas/certs/localhost.key

4. 要启用与 SaltStack Config 用户界面的 SSL 连接，请生成 PEM 编码的 SSL 证书，或确保您有权访问现有的 PEM 编码证书。
5. 将上一步中生成的 .crt 和 .key 文件保存到 RaaS 节点上的 /etc/pki/raas/certs 中。
6. 在文本编辑器中打开 /etc/raas/raas，更新 RaaS 服务配置。配置以下值，并将 <filename> 替换为您的 SSL 证书文件名：

   tls_crt:/etc/pki/raas/certs/<filename>.crt
   tls_key:/etc/pki/raas/certs/<filename>.key
   port:443

7. 重新启动 RaaS 服务。

   sudo systemctl restart raas

8. 验证 RaaS 服务是否正在运行。

   sudo systemctl status raas

9. 在 Web 浏览器中，导航到组织的自定义应用程序 SaltStack Config URL 并输入凭据，确认可以连接到用户界面。有关登录的详细信息，请参见首次登录并更改默认凭据。

现在已为 SaltStack Config 设置 SSL 证书。

更新 SSL 证书

有关更新 SaltStack Config 的 SSL 证书的说明，请参见 VMware 知识库。有关详细信息，请参见如何更新 SaltStack Config 的 SSL 证书。

后续操作

设置 SSL 证书后，可能还需要完成其他安装后步骤。

如果您是 SaltStack SecOps 客户，则下一步是设置这些服务。有关详细信息，请参见配置 SaltStack SecOps。