Como parte del proceso posterior a la instalación, es posible que desee configurar los certificados de capa de sockets seguros (SSL). La configuración de certificados SSL es opcional cuando instala Automation Config, pero se recomienda.

Antes de comenzar

La configuración de los certificados SSL es un paso posterior a la instalación, en una serie de varios pasos que deben seguirse en un orden específico. En primer lugar, complete uno de los escenarios de instalación y, a continuación, lea las siguientes páginas posteriores a la instalación:

Instalar y configurar certificados SSL

Para crear los certificados SSL:

  1. Se necesita el paquete python36-pyOpenSSL para configurar SSL después de la instalación. Por lo general, este paso se completa antes de la instalación. Si no pudo instalar el paquete antes, puede hacerlo ahora. Para obtener instrucciones sobre cómo comprobar e instalar esta dependencia, consulte Dependencias de Automation Config requeridas.
  2. Cree y establezca permisos para la carpeta de certificados para el servicio RaaS.
    sudo mkdir -p /etc/raas/pki
    sudo chown raas:raas /etc/raas/pki
    sudo chmod 750 /etc/raas/pki
  3. Genere claves para el servicio de RaaS mediante Salt o proporcione las suyas propias.
    sudo salt-call --local tls.create_self_signed_cert tls_dir=raas
    sudo chown raas:raas /etc/pki/raas/certs/localhost.crt
    sudo chown raas:raas /etc/pki/raas/certs/localhost.key
    sudo chmod 400 /etc/pki/raas/certs/localhost.crt
    sudo chmod 400 /etc/pki/raas/certs/localhost.key
  4. Para habilitar conexiones de SSL con la interfaz de usuario de Automation Config, genere un certificado SSL con codificación PEM o asegúrese de tener acceso a un certificado con codificación PEM existente.
  5. Guarde los archivos .crt y .key que generó en el paso anterior para /etc/pki/raas/certs en el nodo de RaaS.
  6. Para actualizar la configuración del servicio de RaaS, abra /etc/raas/raas en un editor de texto. Configure los siguientes valores, reemplazando <filename> por el nombre de archivo del certificado SSL:
    tls_crt:/etc/pki/raas/certs/<filename>.crt
    tls_key:/etc/pki/raas/certs/<filename>.key
    port:443
  7. Reinicie el servicio RaaS.
    sudo systemctl restart raas
  8. Verifique si el servicio de RaaS está en ejecución.
    sudo systemctl status raas
  9. Confirme si puede conectarse a la interfaz de usuario en un navegador web. Para ello, vaya a la dirección URL de Automation Config personalizada de su organización e introduzca sus credenciales. Para obtener más información sobre cómo iniciar sesión, consulte Iniciar sesión por primera vez y cambiar las credenciales predeterminadas.

Sus certificados SSL para Automation Config ya están configurados.

Actualizar certificados SSL

Las instrucciones para actualizar los certificados SSL para Automation Config están disponibles en la base de conocimientos de VMware. Para obtener más información, consulte Cómo actualizar certificados SSL para Automation Config.

Solucionar problemas en entornos de Automation Config con instancias de VMware Aria Automation que utilizan certificados autofirmados

Esta información es para los clientes que trabajan con implementaciones de VMware Aria Automation que utilizan un certificado firmado por una entidad de certificación no estándar.

Automation Config puede experimentar los siguientes síntomas:

  • La primera vez que abre VMware Aria Automation, el navegador web muestra una advertencia de seguridad junto a la URL o en la página de visualización que indica que no se puede validar el certificado.
  • Cuando intenta abrir la interfaz de usuario de Automation Config en el navegador web, es posible que aparezca un error 403 o una pantalla en blanco.

Estos síntomas pueden deberse a que la implementación de VMware Aria Automation utiliza un certificado firmado por una entidad de certificación no estándar. Para comprobar si esto provoca que Automation Config muestre una pantalla en blanco, utilice SSH en el nodo que aloja Automation Config y revise el archivo de log de RaaS (/var/log/raas/raas). Si encuentra un mensaje de error de trazabilidad que indica que no se permiten certificados autofirmados, puede probar dos opciones para resolver el problema.

Nota:

Como práctica recomendada de seguridad, nunca debe configurar un entorno de producción para que utilice certificados autofirmados o certificados firmados incorrectamente para autenticar VMware Aria Automation o Automation Config. La práctica recomendada es, en su lugar, utilizar certificados de entidades de certificación de confianza.

Si decide utilizar certificados autofirmados o firmados incorrectamente, puede poner a su sistema en riesgo grave de infracciones de seguridad. Proceda con precaución al utilizar este procedimiento.

Si experimenta este problema y su entorno necesita seguir usando un certificado firmado por una entidad de certificación no estándar, dispone de dos opciones.

La primera opción es agregar la entidad de certificación (CA) raíz VMware Aria Automation al entorno de Automation Config. La segunda opción es deshabilitar la validación de certificados de VMware Aria Automation en Automation Config.

Agregar la entidad de certificación (CA) raíz de vRealize Automation al entorno de Automation Config

Este procedimiento requiere:

  • Acceso raíz
  • La capacidad de utilizar SSH en el servidor RaaS
Nota:

Como práctica de seguridad recomendada adicional, solo se debe conceder este nivel de acceso a los individuos de mayor confianza y categoría de su organización. Tenga cuidado de restringir el acceso raíz al entorno.

Es posible que le resulte más fácil crear una entidad de certificación privada y firmar sus propios certificados de VMware Aria Automation con esa entidad de certificación en lugar de utilizar certificados autofirmados. La ventaja de este enfoque es que solo tiene que realizar este proceso una vez por cada certificado de VMware Aria Automation que necesite. De lo contrario, deberá seguir este proceso para cada certificado de vRealize Automation que cree. Para obtener más información sobre cómo crear una entidad de certificación privada, consulte Cómo firmar una solicitud de certificado con su propia entidad de certificación (desbordamiento de pila).

Para agregar un certificado firmado por una entidad de certificación no estándar a la lista de entidades de certificación en Automation Config:

  1. Intente abrir la interfaz web de vRealize Automation en el navegador. El certificado debe mostrar un mensaje de advertencia en la ventana del navegador y el campo de la URL.
  2. Ejecute el siguiente script que obtiene e instala el certificado, reemplazando <vra_fqdn> por el FQDN de VMware Aria Automation:
    echo -n | openssl s_client -connect <vra_fqdn>:443 -showcerts | tac | sed -ne '1,/-BEGIN CERTIFICATE-/p' | tac | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' | tee -a /etc/pki/tls/certs/ca-bundle.crt && sed -i.bak '/ExecStart\=/iEnvironment=REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt' /usr/lib/systemd/system/raas.service && systemctl daemon-reload && systemctl stop raas && rm /var/log/raas/raas && systemctl start raas && echo -e 'Starting RaaS Service and tailing the log to see if errors persist. \n Please Wait' && sleep 10 && echo -e 'Relaunch the web browser and navigate to the vRASSC login page and monitor this screen for further errors.\n CTRL+C to exit the tail' && tail -f /var/log/raas/raas
  3. Inicie sesión en la interfaz web de Automation Config para comprobar que esta solución haya resuelto el problema. Si se resolvió el problema, Automation Config muestra la página Panel de control.

Deshabilitar validación de certificado

Para deshabilitar la validación de certificado en Automation Config:

Precaución: Deshabilitar la validación de certificado no es una opción de implementación de producción recomendada o admitida para Automation Config. La validación de certificado proporciona una mayor seguridad y debe ser una práctica estándar. Como opción de implementación no recomendada, VMware no ayudará a deshabilitar la validación de certificado ni los problemas que surjan de esta opción de implementación. Si decide deshabilitar esta función, lo hace bajo su propio riesgo.
  1. Abra el archivo de configuración de RaaS en el nodo de RaaS, que se almacena en /etc/raas/raas.
  2. En la opción vra, establezca el valor de validate_ssl en false.
  3. Ejecute systemctl restart raas para reiniciar el servicio RaaS.
  4. Inicie sesión en la interfaz web de Automation Config para comprobar que esta solución haya resuelto el problema. Si se resolvió el problema, Automation Config muestra la página Panel de control.

Qué hacer a continuación

Después de configurar los certificados SSL, es posible que deba completar los pasos posteriores a la instalación.

Si es un cliente de Automation for Secure Hosts, el siguiente paso es configurar estos servicios. Para obtener más información, consulte Configuración de Automation for Secure Hosts.

Si completó todos los pasos posteriores a la instalación necesarios, el siguiente paso es integrar Automation Config con VMware Aria Automation for Secure Hosts. Consulte Configurar una integración de Automation Config en Aria Automation para obtener más información.