作为安装后过程的一部分,可能需要设置安全套接字层 (SSL) 证书。安装 SaltStack Config 时,设置 SSL 证书是可选操作,但建议进行设置。

开始前

设置 SSL 证书是应按特定顺序执行一系列步骤中的一个安装后步骤。首先,完成其中一个安装方案,然后阅读以下安装后页面:

设置并配置 SSL 证书

要创建 SSL 证书,请执行以下操作:

  1. 要在安装后配置 SSL,必须安装 python36-pyOpenSSL 软件包。此步骤通常在安装之前完成。如果在安装之前无法安装,可以现在安装。有关检查和安装此依赖项的说明,请参见安装或升级 Salt
  2. 为 RaaS 服务的证书文件夹创建并设置权限。
    sudo mkdir -p /etc/raas/pki
    sudo chown raas:raas /etc/raas/pki
    sudo chmod 750 /etc/raas/pki
  3. 使用 Salt 为 RaaS 服务生成密钥,或提供您自己的密钥。
    sudo salt-call --local tls.create_self_signed_cert tls_dir=raas
    sudo chown raas:raas /etc/pki/raas/certs/localhost.crt
    sudo chown raas:raas /etc/pki/raas/certs/localhost.key
    sudo chmod 400 /etc/pki/raas/certs/localhost.crt
    sudo chmod 400 /etc/pki/raas/certs/localhost.key
  4. 要启用与 SaltStack Config 用户界面的 SSL 连接,请生成 PEM 编码的 SSL 证书,或确保您有权访问现有的 PEM 编码证书。
  5. 将上一步中生成的 .crt.key 文件保存到 RaaS 节点上的 /etc/pki/raas/certs 中。
  6. 在文本编辑器中打开 /etc/raas/raas,更新 RaaS 服务配置。配置以下值,并将 <filename> 替换为您的 SSL 证书文件名:
    tls_crt:/etc/pki/raas/certs/<filename>.crt
    tls_key:/etc/pki/raas/certs/<filename>.key
    port:443
  7. 重新启动 RaaS 服务。
    sudo systemctl restart raas
  8. 验证 RaaS 服务是否正在运行。
    sudo systemctl status raas
  9. 在 Web 浏览器中,导航到组织的自定义应用程序 SaltStack Config URL 并输入凭据,确认可以连接到用户界面。有关登录的详细信息,请参见首次登录并更改默认凭据

现在已为 SaltStack Config 设置 SSL 证书。

更新 SSL 证书

有关更新 SaltStack Config 的 SSL 证书的说明,请参见 VMware 知识库。有关详细信息,请参见如何更新 SaltStack Config 的 SSL 证书

后续操作

设置 SSL 证书后,可能还需要完成其他安装后步骤。

如果您是 SaltStack SecOps 客户,则下一步是设置这些服务。有关详细信息,请参见配置 SaltStack SecOps