Im Rahmen des Prozesses nach der Installation sollten Sie möglicherweise Ihre SSL-Zertifikate (Secure Sockets Layer) einrichten. Das Einrichten von SSL-Zertifikaten ist bei der Installation von Automation Config optional, wird jedoch empfohlen.

Bevor Sie beginnen

Die Einrichtung der SSL-Zertifikate ist ein Schritt nach der Installation in einer Reihe von mehreren Schritten, die in einer bestimmten Reihenfolge befolgt werden müssen. Führen Sie zunächst eines der Installationsszenarien durch und lesen Sie sich dann die folgenden Seiten für die Vorgehensweise nach der Installation durch:

Einrichten und Konfigurieren von SSL-Zertifikaten

So erstellen Sie die SSL-Zertifikate:

  1. Das python36-pyOpenSSL-Paket ist erforderlich, um SSL nach der Installation zu konfigurieren. Dieser Schritt wird in der Regel vor der Installation durchgeführt. Wenn es vor der Installation nicht installiert werden konnte, kann es jetzt installiert werden. Anweisungen zum Prüfen auf diese Abhängigkeit und deren Installation finden Sie unter Erforderliche Automation Config-Abhängigkeiten.
  2. Erstellen Sie Berechtigungen für den Zertifikatordner für den RaaS-Dienst und legen Sie diese fest.
    sudo mkdir -p /etc/raas/pki
    sudo chown raas:raas /etc/raas/pki
    sudo chmod 750 /etc/raas/pki
  3. Generieren Sie Schlüssel für den RaaS-Dienst mit Salt oder stellen Sie Ihre eigenen zur Verfügung.
    sudo salt-call --local tls.create_self_signed_cert tls_dir=raas
    sudo chown raas:raas /etc/pki/raas/certs/localhost.crt
    sudo chown raas:raas /etc/pki/raas/certs/localhost.key
    sudo chmod 400 /etc/pki/raas/certs/localhost.crt
    sudo chmod 400 /etc/pki/raas/certs/localhost.key
  4. Um SSL-Verbindungen zur Automation Config-Benutzeroberfläche zu aktivieren, generieren Sie ein PEM-codiertes SSL-Zertifikat oder stellen Sie sicher, dass Sie Zugriff auf ein vorhandenes PEM-codiertes Zertifikat haben.
  5. Speichern Sie die Dateien .crt und .key, die Sie im vorherigen Schritt generiert haben, unter /etc/pki/raas/certs auf dem RaaS-Knoten.
  6. Aktualisieren Sie die RaaS-Dienstkonfiguration, indem Sie /etc/raas/raas in einem Texteditor öffnen. Konfigurieren Sie die folgenden Werte, wobei Sie <filename> durch den Dateinamen Ihres SSL-Zertifikats ersetzen:
    tls_crt:/etc/pki/raas/certs/<filename>.crt
    tls_key:/etc/pki/raas/certs/<filename>.key
    port:443
  7. Starten Sie den RaaS-Dienst neu.
    sudo systemctl restart raas
  8. Stellen Sie sicher, dass der RaaS-Dienst ausgeführt wird.
    sudo systemctl status raas
  9. Bestätigen Sie, dass Sie in einem Webbrowser eine Verbindung zur Benutzeroberfläche herstellen können, indem Sie zur benutzerdefinierten Automation Config-URL Ihrer Organisation navigieren und Ihre Anmeldedaten eingeben. Weitere Informationen zur Anmeldung finden Sie unter Erste Anmeldung und Ändern der Standardanmeldedaten.

Ihre SSL-Zertifikate für Automation Config sind jetzt eingerichtet.

Aktualisierung von SSL-Zertifikaten

Anweisungen zum Aktualisieren von SSL-Zertifikaten für Automation Config finden Sie in der VMware Knowledge Base. Weitere Informationen finden Sie unter Vorgehensweise zum Aktualisieren von SSL-Zertifikaten für Automation Config.

Fehlerbehebung in Automation Config-Umgebungen mit VMware Aria Automation, die selbstsignierte Zertifikate verwenden

Diese Informationen gelten für Kunden, die mit VMware Aria Automation-Bereitstellungen arbeiten, die ein von einer nicht standardmäßigen Zertifizierungsstelle signiertes Zertifikat verwenden.

In Automation Config können folgende Symptome auftreten:

  • Beim erstmaligen Öffnen von VMware Aria Automation wird im Webbrowser eine Sicherheitswarnung mit dem Hinweis, dass das Zertifikat nicht validiert werden kann, neben der URL oder auf der Anzeigeseite angezeigt.
  • Wenn Sie die Automation Config-Benutzeroberfläche im Webbrowser öffnen, wird unter Umständen ein 403-Fehler oder ein leerer Bildschirm angezeigt.

Diese Symptome können verursacht werden, wenn Ihre VMware Aria Automation-Bereitstellung ein Zertifikat verwendet, das von einer nicht standardmäßigen Zertifizierungsstelle signiert wurde. Um zu überprüfen, ob Automation Config aufgrund dessen zur Anzeige eines leeren Bildschirms veranlasst wird, melden Sie sich über SSH bei dem Knoten an, der Automation Config hostet, und überprüfen Sie die RaaS-Protokolldatei (/var/log/raas/raas). Wenn eine Traceback-Fehlermeldung mit dem Hinweis angezeigt wird, dass selbstsignierte Zertifikate nicht zulässig sind, haben Sie für die Behebung des Problems zwei Möglichkeiten.

Hinweis:

Als Best Practice für die Sicherheit sollten Sie niemals eine Produktionsumgebung einrichten, in der selbstsignierte Zertifikate oder nicht ordnungsgemäß signierte Zertifikate zur Authentifizierung von VMware Aria Automation oder Automation Config verwendet werden. Es wird empfohlen, stattdessen Zertifikate vertrauenswürdiger Zertifizierungsstellen zu verwenden.

Wenn Sie selbstsignierte oder nicht ordnungsgemäß signierte Zertifikate verwenden, setzen Sie Ihr System möglicherweise einem schwerwiegenden Risiko eines Sicherheitsverstoßes aus. Gehen Sie bei diesem Verfahren vorsichtig vor.

Wenn dieses Problem auftritt und Ihre Umgebung weiterhin ein von einer nicht standardmäßigen Zertifizierungsstelle signiertes Zertifikat verwenden muss, haben Sie zwei Möglichkeiten.

Die erste Möglichkeit besteht darin, die VMware Aria Automation-Stammzertifizierungsstelle (CA) zu Ihrer Automation Config-Umgebung hinzuzufügen. Die zweite Möglichkeit besteht darin, die VMware Aria Automation-Zertifikatvalidierung in Automation Config zu deaktivieren.

Hinzufügen der vRealize Automation-Stammzertifizierungsstelle (CA) zur Automation Config-Umgebung

Dieses Verfahren erfordert:

  • Root-Zugriff
  • Möglichkeit der SSH-Kommunikation mit dem RaaS-Server
Hinweis:

Als zusätzliche Sicherheitsempfehlung sollte nur äußerst vertrauenswürdigen und erfahrenen Personen in Ihrer Organisation Zugriff auf dieser Ebene gewährt werden. Denken Sie daran, den Root-Zugriff auf Ihre Umgebung zu beschränken.

Möglicherweise ist es einfacher, eine private Zertifizierungsstelle zu erstellen und eigene VMware Aria Automation-Zertifikate mit dieser Zertifizierungsstelle zu signieren, anstatt selbstsignierte Zertifikate zu verwenden. Der Vorteil dieses Ansatzes besteht darin, dass Sie diesen Vorgang nur einmal für jedes benötigte VMware Aria Automation-Zertifikat durchlaufen müssen. Andernfalls müssen Sie diesen Vorgang für jedes von Ihnen erstellte vRealize Automation-Zertifikats durchführen. Weitere Informationen zum Erstellen einer privaten Zertifizierungsstelle finden Sie unter Vorgehensweise zum Signieren einer Zertifikatsanforderung mit der eigenen Zertifizierungsstelle (Stapelüberlauf).

So fügen Sie ein von einer nicht standardmäßigen Zertifizierungsstelle signiertes Zertifikat zur Liste der Zertifizierungsstellen in Automation Config hinzu:

  1. Versuchen Sie, die vRealize Automation-Webschnittstelle in Ihrem Browser zu öffnen. Für das Zertifikat sollte eine Warnmeldung im Browserfenster und in der URL-Anzeige angezeigt werden.
  2. Führen Sie das folgende Skript zum Abrufen und Installieren des Zertifikats aus und ersetzen Sie <vra_fqdn> durch Ihren VMware Aria Automation-FQDN:
    echo -n | openssl s_client -connect <vra_fqdn>:443 -showcerts | tac | sed -ne '1,/-BEGIN CERTIFICATE-/p' | tac | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' | tee -a /etc/pki/tls/certs/ca-bundle.crt && sed -i.bak '/ExecStart\=/iEnvironment=REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt' /usr/lib/systemd/system/raas.service && systemctl daemon-reload && systemctl stop raas && rm /var/log/raas/raas && systemctl start raas && echo -e 'Starting RaaS Service and tailing the log to see if errors persist. \n Please Wait' && sleep 10 && echo -e 'Relaunch the web browser and navigate to the vRASSC login page and monitor this screen for further errors.\n CTRL+C to exit the tail' && tail -f /var/log/raas/raas
  3. Stellen Sie sicher, dass das Problem mithilfe dieses Lösungsvorschlags behoben wurde, indem Sie sich bei der Automation Config-Webschnittstelle anmelden. Nach der Behebung des Problems wird in Automation Config die Seite „Dashboard“ angezeigt.

Deaktivieren der Zertifikatvalidierung

So deaktivieren Sie die Zertifikatvalidierung in Automation Config:

Vorsicht: Das Deaktivieren der Zertifikatvalidierung wird als Option für die Produktbereitstellung für Automation Config weder empfohlen noch unterstützt. Die Zertifikatvalidierung bietet erhöhte Sicherheit und sollte Ihre Standardpraxis sein. Da die Deaktivierung der Zertifikatvalidierung nicht empfohlen wird, unterstützt VMware diese Bereitstellungsoption nicht und bietet auch keine Hilfe bei Problemen, die sich aus dieser Option ergeben. Wenn Sie diese Funktion deaktivieren möchten, tun Sie dies auf eigenes Risiko.
  1. Öffnen Sie die RaaS-Konfigurationsdatei auf dem RaaS-Knoten, die in /etc/raas/raas gespeichert ist.
  2. Legen Sie in der vra-Einstellung als Wert für validate_ssl false fest.
  3. Führen Sie den Befehl systemctl restart raas aus, um den RaaS-Dienst neu zu starten.
  4. Stellen Sie sicher, dass das Problem mithilfe dieses Lösungsvorschlags behoben wurde, indem Sie sich bei der Automation Config-Webschnittstelle anmelden. Nach der Behebung des Problems wird in Automation Config die Seite „Dashboard“ angezeigt.

Nächste Schritte

Nach dem Einrichten von SSL-Zertifikaten müssen Sie möglicherweise zusätzliche Schritte nach der Installation durchführen.

Wenn Sie Automation for Secure Hosts-Kunde sind, besteht der nächste Schritt im Einrichten dieser Dienste. Weitere Informationen finden Sie unter Konfigurieren von Automation for Secure Hosts.

Wenn Sie alle erforderlichen Schritte nach der Installation abgeschlossen haben, besteht der nächste Schritt darin, Automation Config in VMware Aria Automation for Secure Hosts zu integrieren. Weitere Informationen finden Sie unter Erstellen einer Automation Config-Integration in Aria Automation.