作为安装后过程的一部分,可能需要设置安全套接字层 (SSL) 证书。安装 SaltStack Config 时,设置 SSL 证书是可选操作,但建议进行设置。
开始前
设置 SSL 证书是应按特定顺序执行一系列步骤中的一个安装后步骤。首先,完成其中一个安装方案,然后阅读以下安装后页面:
设置并配置 SSL 证书
要创建 SSL 证书,请执行以下操作:
- 要在安装后配置 SSL,必须安装
python36-pyOpenSSL
软件包。此步骤通常在安装之前完成。如果在安装之前无法安装,可以现在安装。有关检查和安装此依赖项的说明,请参见安装或升级 Salt。 - 为 RaaS 服务的证书文件夹创建并设置权限。
sudo mkdir -p /etc/raas/pki sudo chown raas:raas /etc/raas/pki sudo chmod 750 /etc/raas/pki
- 使用 Salt 为 RaaS 服务生成密钥,或提供您自己的密钥。
sudo salt-call --local tls.create_self_signed_cert tls_dir=raas sudo chown raas:raas /etc/pki/raas/certs/localhost.crt sudo chown raas:raas /etc/pki/raas/certs/localhost.key sudo chmod 400 /etc/pki/raas/certs/localhost.crt sudo chmod 400 /etc/pki/raas/certs/localhost.key
- 要启用与 SaltStack Config 用户界面的 SSL 连接,请生成 PEM 编码的 SSL 证书,或确保您有权访问现有的 PEM 编码证书。
- 将上一步中生成的
.crt
和.key
文件保存到 RaaS 节点上的/etc/pki/raas/certs
中。 - 在文本编辑器中打开
/etc/raas/raas
,更新 RaaS 服务配置。配置以下值,并将<filename>
替换为您的 SSL 证书文件名:tls_crt:/etc/pki/raas/certs/<filename>.crt tls_key:/etc/pki/raas/certs/<filename>.key port:443
- 重新启动 RaaS 服务。
sudo systemctl restart raas
- 验证 RaaS 服务是否正在运行。
sudo systemctl status raas
- 在 Web 浏览器中,导航到组织的自定义应用程序 SaltStack Config URL 并输入凭据,确认可以连接到用户界面。有关登录的详细信息,请参见首次登录并更改默认凭据。
现在已为 SaltStack Config 设置 SSL 证书。
更新 SSL 证书
有关更新 SaltStack Config 的 SSL 证书的说明,请参见 VMware 知识库。有关详细信息,请参见如何更新 SaltStack Config 的 SSL 证书。
后续操作
设置 SSL 证书后,可能还需要完成其他安装后步骤。
如果您是 SaltStack SecOps 客户,则下一步是设置这些服务。有关详细信息,请参见配置 SaltStack SecOps。