Im Rahmen des Prozesses nach der Installation sollten Sie möglicherweise Ihre SSL-Zertifikate (Secure Sockets Layer) einrichten. Das Einrichten von SSL-Zertifikaten ist bei der Installation von SaltStack Config optional, wird jedoch empfohlen.

Bevor Sie beginnen

Die Einrichtung der SSL-Zertifikate ist ein Schritt nach der Installation in einer Reihe von mehreren Schritten, die in einer bestimmten Reihenfolge befolgt werden müssen. Führen Sie zunächst eines der Installationsszenarien durch und lesen Sie sich dann die folgenden Seiten für die Vorgehensweise nach der Installation durch:

Einrichten und Konfigurieren von SSL-Zertifikaten

So erstellen Sie die SSL-Zertifikate:

  1. Das python36-pyOpenSSL-Paket ist erforderlich, um SSL nach der Installation zu konfigurieren. Dieser Schritt wird in der Regel vor der Installation durchgeführt. Wenn es vor der Installation nicht installiert werden konnte, kann es jetzt installiert werden. Anweisungen zum Prüfen auf diese Abhängigkeit und deren Installation finden Sie unter Erforderliche SaltStack Config-Abhängigkeiten.
  2. Erstellen Sie Berechtigungen für den Zertifikatordner für den RaaS-Dienst und legen Sie diese fest.
    sudo mkdir -p /etc/raas/pki
    sudo chown raas:raas /etc/raas/pki
    sudo chmod 750 /etc/raas/pki
  3. Generieren Sie Schlüssel für den RaaS-Dienst mit Salt oder stellen Sie Ihre eigenen zur Verfügung.
    sudo salt-call --local tls.create_self_signed_cert tls_dir=raas
    sudo chown raas:raas /etc/pki/raas/certs/localhost.crt
    sudo chown raas:raas /etc/pki/raas/certs/localhost.key
    sudo chmod 400 /etc/pki/raas/certs/localhost.crt
    sudo chmod 400 /etc/pki/raas/certs/localhost.key
  4. Um SSL-Verbindungen zur SaltStack Config-Benutzeroberfläche zu aktivieren, generieren Sie ein PEM-codiertes SSL-Zertifikat oder stellen Sie sicher, dass Sie Zugriff auf ein vorhandenes PEM-codiertes Zertifikat haben.
  5. Speichern Sie die Dateien .crt und .key, die Sie im vorherigen Schritt generiert haben, unter /etc/pki/raas/certs auf dem RaaS-Knoten.
  6. Aktualisieren Sie die RaaS-Dienstkonfiguration, indem Sie /etc/raas/raas in einem Texteditor öffnen. Konfigurieren Sie die folgenden Werte, wobei Sie <filename> durch den Dateinamen Ihres SSL-Zertifikats ersetzen:
    tls_crt:/etc/pki/raas/certs/<filename>.crt
    tls_key:/etc/pki/raas/certs/<filename>.key
    port:443
  7. Starten Sie den RaaS-Dienst neu.
    sudo systemctl restart raas
  8. Stellen Sie sicher, dass der RaaS-Dienst ausgeführt wird.
    sudo systemctl status raas
  9. Bestätigen Sie, dass Sie in einem Webbrowser eine Verbindung zur Benutzeroberfläche herstellen können, indem Sie zur benutzerdefinierten SaltStack Config-URL Ihrer Organisation navigieren und Ihre Anmeldedaten eingeben. Weitere Informationen zur Anmeldung finden Sie unter Erste Anmeldung und Ändern der Standardanmeldedaten.

Ihre SSL-Zertifikate für SaltStack Config sind jetzt eingerichtet.

Aktualisierung von SSL-Zertifikaten

Anweisungen zum Aktualisieren von SSL-Zertifikaten für SaltStack Config finden Sie in der VMware Knowledge Base. Weitere Informationen finden Sie unter Vorgehensweise zum Aktualisieren von SSL-Zertifikaten für SaltStack Config.

Fehlerbehebung in SaltStack Config-Umgebungen mit vRealize Automation, die selbstsignierte Zertifikate verwenden

Diese Informationen gelten für Kunden, die mit vRealize Automation-Bereitstellungen arbeiten, die ein von einer nicht standardmäßigen Zertifizierungsstelle signiertes Zertifikat verwenden.

In SaltStack Config können folgende Symptome auftreten:

  • Beim erstmaligen Öffnen von vRealize Automation wird im Webbrowser eine Sicherheitswarnung mit dem Hinweis, dass das Zertifikat nicht validiert werden kann, neben der URL oder auf der Anzeigeseite angezeigt.
  • Wenn Sie die SaltStack Config-Benutzeroberfläche im Webbrowser öffnen, wird unter Umständen ein 403-Fehler oder ein leerer Bildschirm angezeigt.

Diese Symptome können verursacht werden, wenn Ihre vRealize Automation-Bereitstellung ein Zertifikat verwendet, das von einer nicht standardmäßigen Zertifizierungsstelle signiert wurde. Um zu überprüfen, ob SaltStack Config aufgrund dessen zur Anzeige eines leeren Bildschirms veranlasst wird, melden Sie sich über SSH bei dem Knoten an, der SaltStack Config hostet, und überprüfen Sie die RaaS-Protokolldatei (/var/log/raas/raas). Wenn eine Traceback-Fehlermeldung mit dem Hinweis angezeigt wird, dass selbstsignierte Zertifikate nicht zulässig sind, haben Sie für die Behebung des Problems zwei Möglichkeiten.

Hinweis:

Als Best Practice für die Sicherheit sollten Sie niemals eine Produktionsumgebung einrichten, in der selbstsignierte Zertifikate oder nicht ordnungsgemäß signierte Zertifikate zur Authentifizierung von vRealize Automation oder SaltStack Config verwendet werden. Es wird empfohlen, stattdessen Zertifikate vertrauenswürdiger Zertifizierungsstellen zu verwenden.

Wenn Sie selbstsignierte oder nicht ordnungsgemäß signierte Zertifikate verwenden, setzen Sie Ihr System möglicherweise einem schwerwiegenden Risiko eines Sicherheitsverstoßes aus. Gehen Sie bei diesem Verfahren vorsichtig vor.

Wenn dieses Problem auftritt und Ihre Umgebung weiterhin ein von einer nicht standardmäßigen Zertifizierungsstelle signiertes Zertifikat verwenden muss, haben Sie zwei Möglichkeiten.

Die erste Möglichkeit besteht darin, die vRealize Automation-Stammzertifizierungsstelle (CA) zu Ihrer SaltStack Config-Umgebung hinzuzufügen. Die zweite Möglichkeit besteht darin, die vRealize Automation-Zertifikatvalidierung in SaltStack Config zu deaktivieren.

Hinzufügen der vRealize Automation-Stammzertifizierungsstelle (CA) zur SaltStack Config-Umgebung

Dieses Verfahren erfordert:

  • Root-Zugriff
  • Möglichkeit der SSH-Kommunikation mit dem RaaS-Server
Hinweis:

Als zusätzliche Sicherheitsempfehlung sollte nur äußerst vertrauenswürdigen und erfahrenen Personen in Ihrer Organisation Zugriff auf dieser Ebene gewährt werden. Denken Sie daran, den Root-Zugriff auf Ihre Umgebung zu beschränken.

Möglicherweise ist es einfacher, eine private Zertifizierungsstelle zu erstellen und eigene vRealize Automation-Zertifikate mit dieser Zertifizierungsstelle zu signieren, anstatt selbstsignierte Zertifikate zu verwenden. Der Vorteil dieses Ansatzes besteht darin, dass Sie diesen Vorgang nur einmal für jedes benötigte vRealize Automation-Zertifikat durchlaufen müssen. Andernfalls müssen Sie diesen Vorgang für jedes von Ihnen erstellte vRealize Automation-Zertifikats durchführen. Weitere Informationen zum Erstellen einer privaten Zertifizierungsstelle finden Sie unter Vorgehensweise zum Signieren einer Zertifikatsanforderung mit der eigenen Zertifizierungsstelle (Stapelüberlauf).

So fügen Sie ein von einer nicht standardmäßigen Zertifizierungsstelle signiertes Zertifikat zur Liste der Zertifizierungsstellen in SaltStack Config hinzu:

  1. Versuchen Sie, die vRealize Automation-Webschnittstelle in Ihrem Browser zu öffnen. Für das Zertifikat sollte eine Warnmeldung im Browserfenster und in der URL-Anzeige angezeigt werden.
  2. Führen Sie das folgende Skript zum Abrufen und Installieren des Zertifikats aus und ersetzen Sie <vra_fqdn> durch Ihren vRealize Automation-FQDN:
    echo -n | openssl s_client -connect <vra_fqdn>:443 -showcerts | tac | sed -ne '1,/-BEGIN CERTIFICATE-/p' | tac | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' | tee -a /etc/pki/tls/certs/ca-bundle.crt && sed -i.bak '/ExecStart\=/iEnvironment=REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt' /usr/lib/systemd/system/raas.service && systemctl daemon-reload && systemctl stop raas && rm /var/log/raas/raas && systemctl start raas && echo -e 'Starting RaaS Service and tailing the log to see if errors persist. \n Please Wait' && sleep 10 && echo -e 'Relaunch the web browser and navigate to the vRASSC login page and monitor this screen for further errors.\n CTRL+C to exit the tail' && tail -f /var/log/raas/raas
  3. Stellen Sie sicher, dass das Problem mithilfe dieses Lösungsvorschlags behoben wurde, indem Sie sich bei der SaltStack Config-Webschnittstelle anmelden. Nach der Behebung des Problems wird in SaltStack Config die Seite „Dashboard“ angezeigt.

Deaktivieren der Zertifikatvalidierung

So deaktivieren Sie die Zertifikatvalidierung in SaltStack Config:

Vorsicht: Das Deaktivieren der Zertifikatvalidierung wird als Option für die Produktbereitstellung für SaltStack Config weder empfohlen noch unterstützt. Die Zertifikatvalidierung bietet erhöhte Sicherheit und sollte Ihre Standardpraxis sein. Da die Deaktivierung der Zertifikatvalidierung nicht empfohlen wird, unterstützt VMware diese Bereitstellungsoption nicht und bietet auch keine Hilfe bei Problemen, die sich aus dieser Option ergeben. Wenn Sie diese Funktion deaktivieren möchten, tun Sie dies auf eigenes Risiko.
  1. Öffnen Sie die RaaS-Konfigurationsdatei auf dem RaaS-Knoten, die in /etc/raas/raas gespeichert ist.
  2. Legen Sie in der vra-Einstellung als Wert für validate_ssl false fest.
  3. Führen Sie den Befehl systemctl restart raas aus, um den RaaS-Dienst neu zu starten.
  4. Stellen Sie sicher, dass das Problem mithilfe dieses Lösungsvorschlags behoben wurde, indem Sie sich bei der SaltStack Config-Webschnittstelle anmelden. Nach der Behebung des Problems wird in SaltStack Config die Seite „Dashboard“ angezeigt.

Nächste Schritte

Nach dem Einrichten von SSL-Zertifikaten müssen Sie möglicherweise zusätzliche Schritte nach der Installation durchführen.

Wenn Sie SaltStack SecOps-Kunde sind, besteht der nächste Schritt im Einrichten dieser Dienste. Weitere Informationen finden Sie unter Konfigurieren von SaltStack SecOps.

Wenn Sie alle erforderlichen Schritte nach der Installation abgeschlossen haben, besteht der nächste Schritt darin, SaltStack Config in vRealize Automation SaltStack SecOps zu integrieren. Weitere Informationen finden Sie unter Konfigurieren einer SaltStack Config-Integration mit vRealize Automation.