Im Rahmen des Prozesses nach der Installation sollten Sie möglicherweise Ihre SSL-Zertifikate (Secure Sockets Layer) einrichten. Das Einrichten von SSL-Zertifikaten ist bei der Installation von SaltStack Config optional, wird jedoch empfohlen.
Bevor Sie beginnen
Die Einrichtung der SSL-Zertifikate ist ein Schritt nach der Installation in einer Reihe von mehreren Schritten, die in einer bestimmten Reihenfolge befolgt werden müssen. Führen Sie zunächst eines der Installationsszenarien durch und lesen Sie sich dann die folgenden Seiten für die Vorgehensweise nach der Installation durch:
Einrichten und Konfigurieren von SSL-Zertifikaten
So erstellen Sie die SSL-Zertifikate:
- Das
python36-pyOpenSSL
-Paket ist erforderlich, um SSL nach der Installation zu konfigurieren. Dieser Schritt wird in der Regel vor der Installation durchgeführt. Wenn es vor der Installation nicht installiert werden konnte, kann es jetzt installiert werden. Anweisungen zum Prüfen auf diese Abhängigkeit und deren Installation finden Sie unter Installieren oder Aktualisieren von Salt. - Erstellen Sie Berechtigungen für den Zertifikatordner für den RaaS-Dienst und legen Sie diese fest.
sudo mkdir -p /etc/raas/pki sudo chown raas:raas /etc/raas/pki sudo chmod 750 /etc/raas/pki
- Generieren Sie Schlüssel für den RaaS-Dienst mit Salt oder stellen Sie Ihre eigenen zur Verfügung.
sudo salt-call --local tls.create_self_signed_cert tls_dir=raas sudo chown raas:raas /etc/pki/raas/certs/localhost.crt sudo chown raas:raas /etc/pki/raas/certs/localhost.key sudo chmod 400 /etc/pki/raas/certs/localhost.crt sudo chmod 400 /etc/pki/raas/certs/localhost.key
- Um SSL-Verbindungen zur SaltStack Config-Benutzeroberfläche zu aktivieren, generieren Sie ein PEM-codiertes SSL-Zertifikat oder stellen Sie sicher, dass Sie Zugriff auf ein vorhandenes PEM-codiertes Zertifikat haben.
- Speichern Sie die Dateien
.crt
und.key
, die Sie im vorherigen Schritt generiert haben, unter/etc/pki/raas/certs
auf dem RaaS-Knoten. - Aktualisieren Sie die RaaS-Dienstkonfiguration, indem Sie
/etc/raas/raas
in einem Texteditor öffnen. Konfigurieren Sie die folgenden Werte, wobei Sie<filename>
durch den Dateinamen Ihres SSL-Zertifikats ersetzen:tls_crt:/etc/pki/raas/certs/<filename>.crt tls_key:/etc/pki/raas/certs/<filename>.key port:443
- Starten Sie den RaaS-Dienst neu.
sudo systemctl restart raas
- Stellen Sie sicher, dass der RaaS-Dienst ausgeführt wird.
sudo systemctl status raas
- Bestätigen Sie, dass Sie in einem Webbrowser eine Verbindung zur Benutzeroberfläche herstellen können, indem Sie zur benutzerdefinierten SaltStack Config-URL Ihrer Organisation navigieren und Ihre Anmeldedaten eingeben. Weitere Informationen zur Anmeldung finden Sie unter Erste Anmeldung und Ändern der Standardanmeldedaten.
Ihre SSL-Zertifikate für SaltStack Config sind jetzt eingerichtet.
Aktualisierung von SSL-Zertifikaten
Anweisungen zum Aktualisieren von SSL-Zertifikaten für SaltStack Config finden Sie in der VMware Knowledge Base. Weitere Informationen finden Sie unter Vorgehensweise zum Aktualisieren von SSL-Zertifikaten für SaltStack Config.
Fehlerbehebung in SaltStack Config-Umgebungen mit vRealize Automation, die selbstsignierte Zertifikate verwenden
Diese Informationen gelten für Kunden, die mit vRealize Automation-Bereitstellungen arbeiten, die ein von einer nicht standardmäßigen Zertifizierungsstelle signiertes Zertifikat verwenden.
In SaltStack Config können folgende Symptome auftreten:
- Beim erstmaligen Öffnen von vRealize Automation wird im Webbrowser eine Sicherheitswarnung mit dem Hinweis, dass das Zertifikat nicht validiert werden kann, neben der URL oder auf der Anzeigeseite angezeigt.
- Wenn Sie die SaltStack Config-Benutzeroberfläche im Webbrowser öffnen, wird unter Umständen ein 403-Fehler oder ein leerer Bildschirm angezeigt.
Diese Symptome können verursacht werden, wenn Ihre vRealize Automation-Bereitstellung ein Zertifikat verwendet, das von einer nicht standardmäßigen Zertifizierungsstelle signiert wurde. Um zu überprüfen, ob SaltStack Config aufgrund dessen zur Anzeige eines leeren Bildschirms veranlasst wird, melden Sie sich über SSH bei dem Knoten an, der SaltStack Config hostet, und überprüfen Sie die RaaS-Protokolldatei (/var/log/raas/raas
). Wenn eine Traceback-Fehlermeldung mit dem Hinweis angezeigt wird, dass selbstsignierte Zertifikate nicht zulässig sind, haben Sie für die Behebung des Problems zwei Möglichkeiten.
Als Best Practice für die Sicherheit sollten Sie niemals eine Produktionsumgebung einrichten, in der selbstsignierte Zertifikate oder nicht ordnungsgemäß signierte Zertifikate zur Authentifizierung von vRealize Automation oder SaltStack Config verwendet werden. Es wird empfohlen, stattdessen Zertifikate vertrauenswürdiger Zertifizierungsstellen zu verwenden.
Wenn Sie selbstsignierte oder nicht ordnungsgemäß signierte Zertifikate verwenden, setzen Sie Ihr System möglicherweise einem schwerwiegenden Risiko eines Sicherheitsverstoßes aus. Gehen Sie bei diesem Verfahren vorsichtig vor.
Wenn dieses Problem auftritt und Ihre Umgebung weiterhin ein von einer nicht standardmäßigen Zertifizierungsstelle signiertes Zertifikat verwenden muss, haben Sie zwei Möglichkeiten.
Die erste Möglichkeit besteht darin, die vRealize Automation-Stammzertifizierungsstelle (CA) zu Ihrer SaltStack Config-Umgebung hinzuzufügen. Weitere Informationen hierzu finden Sie unter Hinzufügen der vRealize Automation-Stammzertifizierungsstelle (CA) zur SaltStack Config-Umgebung. Die zweite Möglichkeit besteht darin, die vRealize Automation-Zertifikatvalidierung in SaltStack Config zu deaktivieren. Weitere Informationen hierzu finden Sie unter Deaktivieren der Zertifikatvalidierung.
Hinzufügen der vRealize Automation-Stammzertifizierungsstelle (CA) zur SaltStack Config-Umgebung
Dieses Verfahren erfordert:
- Root-Zugriff
- Möglichkeit der SSH-Kommunikation mit dem RaaS-Server
Als zusätzliche Best Practices für die Sicherheit sollte nur den vertrauenswürdigsten und erfahrensten Personen in Ihrer Organisation der Zugriff auf dieser Ebene gewährt werden. Denken Sie daran, den Root-Zugriff auf Ihre Umgebung zu beschränken.
Möglicherweise ist es einfacher, eine private Zertifizierungsstelle zu erstellen und eigene vRealize Automation-Zertifikate mit dieser Zertifizierungsstelle zu signieren, anstatt selbstsignierte Zertifikate zu verwenden. Der Vorteil dieses Ansatzes besteht darin, dass Sie diesen Vorgang nur einmal für jedes benötigte vRealize Automation-Zertifikat durchlaufen müssen. Andernfalls müssen Sie diesen Vorgang für jedes von Ihnen erstellte vRealize Automation-Zertifikats durchführen. Weitere Informationen zum Erstellen einer privaten Zertifizierungsstelle finden Sie unter Vorgehensweise zum Signieren einer Zertifikatsanforderung mit der eigenen Zertifizierungsstelle (Stapelüberlauf).
So fügen Sie ein von einer nicht standardmäßigen Zertifizierungsstelle signiertes Zertifikat zur Liste der Zertifizierungsstellen in SaltStack Config hinzu:
- Versuchen Sie, die vRealize Automation-Webschnittstelle in Ihrem Browser zu öffnen. Für das Zertifikat sollte eine Warnmeldung im Browserfenster und in der URL-Anzeige angezeigt werden.
- Laden Sie das erforderliche Zertifikat herunter.
- Chrome-Browser: Klicken Sie auf die Warnung „Nicht sicher“ in der URL-Anzeige, um ein Menü zu öffnen. Wählen Sie „Zertifikat (ungültig)“ aus. Ziehen Sie das fehlende Zertifikat in den Datei-Explorer oder Finder Ihres lokalen Computers, um es zu speichern. Wählen Sie gegebenenfalls den Zertifikatssignaturgeber (Zertifizierungsstelle) aus. Klicken Sie auf das Zertifikatssymbol und ziehen Sie es dann in den Datei-Explorer Ihres lokalen Computers. Handelt es sich nicht um die PEM-Dateierweiterung (.crt, .cer, .der), konvertieren Sie sie mit dem folgenden Befehl in das PEM-Format:
openssl x509 -inform der -in certificate.cer -out certificate.pem
- Firefox-Browser: Klicken Sie auf das Warnsymbol in der URL-Anzeige, um ein Menü zu öffnen. Wählen Sie „Verbindung nicht sicher“ > „Weitere Informationen“ aus. Klicken Sie im Dialogfeld auf „Zertifikat anzeigen“. Klicken Sie auf das fehlende Zertifikat, um es in das Dateisystem Ihres lokalen Computers herunterzuladen.
- Chrome-Browser: Klicken Sie auf die Warnung „Nicht sicher“ in der URL-Anzeige, um ein Menü zu öffnen. Wählen Sie „Zertifikat (ungültig)“ aus. Ziehen Sie das fehlende Zertifikat in den Datei-Explorer oder Finder Ihres lokalen Computers, um es zu speichern. Wählen Sie gegebenenfalls den Zertifikatssignaturgeber (Zertifizierungsstelle) aus. Klicken Sie auf das Zertifikatssymbol und ziehen Sie es dann in den Datei-Explorer Ihres lokalen Computers. Handelt es sich nicht um die PEM-Dateierweiterung (.crt, .cer, .der), konvertieren Sie sie mit dem folgenden Befehl in das PEM-Format:
- Melden Sie sich gegebenenfalls per SSH beim RaaS-Server an.
- Hängen Sie die Zertifikatsdatei an das Ende der Datei in folgendem Verzeichnis an:
/etc/pki/tls/certs/ca-bundle.crt
. Sie können das Zertifikat mit dem folgenden Befehl an das Ende der Datei anhängen, indem Sie die Beispieldatei durch Ihren tatsächlichen Dateinamen ersetzen:cat <certificate-file>.crt >> /etc/pki/tls/certs/ca-bundle.crt
Hinweis:Mithilfe dieses Befehls können Sie auch Dateien mit der Erweiterung
.pem
kopieren. - Navigieren Sie zum Verzeichnis
/usr/lib/systemd/system
und öffnen Sie die Dateiraas.service
In Ihrem Editor. Fügen Sie die folgende Zeile oberhalb der ExecStart-Zeile zu dieser Datei hinzu:Environment=REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt
- Laden Sie den Daemon neu und starten Sie RaaS mithilfe der folgenden Befehle neu:
systemctl daemon-reload systemctl stop raas rm /var/log/raas/raas systemctl start raas tail -f /var/log/raas/raas
Hinweis:Verwenden Sie
tail -f /var/log/raas/raas
, um die RaaS-Protokolldatei in der kontinuierlichen Anzeige anzuzeigen. Dies kann bei der Fehlerbehebung hilfreich sein. - Stellen Sie sicher, dass das Problem mithilfe dieses Lösungsvorschlags behoben wurde, indem Sie sich bei der SaltStack Config-Webschnittstelle anmelden. Nach der Behebung des Problems wird in SaltStack Config die Seite „Dashboard“ angezeigt.
Deaktivieren der Zertifikatvalidierung
So deaktivieren Sie die Zertifikatvalidierung in SaltStack Config:
- Öffnen Sie die RaaS-Konfigurationsdatei auf dem RaaS-Knoten, die in
/etc/raas/raas
gespeichert ist. - Legen Sie in der
vra
-Einstellung als Wert fürvalidate_ssl
false
fest. - Führen Sie den Befehl
systemctl restart raas
aus, um den RaaS-Dienst neu zu starten. - Stellen Sie sicher, dass das Problem mithilfe dieses Lösungsvorschlags behoben wurde, indem Sie sich bei der SaltStack Config-Webschnittstelle anmelden. Nach der Behebung des Problems wird in SaltStack Config die Seite „Dashboard“ angezeigt.
Nächste Schritte
Nach dem Einrichten von SSL-Zertifikaten müssen Sie möglicherweise zusätzliche Schritte nach der Installation durchführen.
Wenn Sie SaltStack SecOps-Kunde sind, besteht der nächste Schritt im Einrichten dieser Dienste. Weitere Informationen finden Sie unter Konfigurieren von SaltStack SecOps.
Wenn Sie alle erforderlichen Schritte nach der Installation abgeschlossen haben, besteht der nächste Schritt darin, SaltStack Config in vRealize Automation SaltStack SecOps zu integrieren. Weitere Informationen finden Sie unter Erstellen einer SaltStack Config-Integration mit vRealize Automation.