Como parte del proceso posterior a la instalación, es posible que desee configurar los certificados de capa de sockets seguros (SSL). La configuración de certificados SSL es opcional cuando instala SaltStack Config, pero se recomienda.
Antes de comenzar
La configuración de los certificados SSL es un paso posterior a la instalación, en una serie de varios pasos que deben seguirse en un orden específico. En primer lugar, complete uno de los escenarios de instalación y, a continuación, lea las siguientes páginas posteriores a la instalación:
Instalar y configurar certificados SSL
Para crear los certificados SSL:
- Se necesita el paquete
python36-pyOpenSSLpara configurar SSL después de la instalación. Por lo general, este paso se completa antes de la instalación. Si no pudo instalar el paquete antes, puede hacerlo ahora. Para obtener instrucciones sobre cómo comprobar e instalar esta dependencia, consulte Instalar o actualizar Salt. - Cree y establezca permisos para la carpeta de certificados para el servicio RaaS.
sudo mkdir -p /etc/raas/pki sudo chown raas:raas /etc/raas/pki sudo chmod 750 /etc/raas/pki
- Genere claves para el servicio de RaaS mediante Salt o proporcione las suyas propias.
sudo salt-call --local tls.create_self_signed_cert tls_dir=raas sudo chown raas:raas /etc/pki/raas/certs/localhost.crt sudo chown raas:raas /etc/pki/raas/certs/localhost.key sudo chmod 400 /etc/pki/raas/certs/localhost.crt sudo chmod 400 /etc/pki/raas/certs/localhost.key
- Para habilitar conexiones de SSL con la interfaz de usuario de SaltStack Config, genere un certificado SSL con codificación PEM o asegúrese de tener acceso a un certificado con codificación PEM existente.
- Guarde los archivos
.crty.keyque generó en el paso anterior para/etc/pki/raas/certsen el nodo de RaaS. - Para actualizar la configuración del servicio de RaaS, abra
/etc/raas/raasen un editor de texto. Configure los siguientes valores, reemplazando<filename>por el nombre de archivo del certificado SSL:tls_crt:/etc/pki/raas/certs/<filename>.crt tls_key:/etc/pki/raas/certs/<filename>.key port:443
- Reinicie el servicio RaaS.
sudo systemctl restart raas
- Verifique si el servicio de RaaS está en ejecución.
sudo systemctl status raas
- Confirme si puede conectarse a la interfaz de usuario en un navegador web. Para ello, vaya a la dirección URL de SaltStack Config personalizada de su organización e introduzca sus credenciales. Para obtener más información sobre cómo iniciar sesión, consulte Iniciar sesión por primera vez y cambiar las credenciales predeterminadas.
Sus certificados SSL para SaltStack Config ya están configurados.
Actualizar certificados SSL
Las instrucciones para actualizar los certificados SSL para SaltStack Config están disponibles en la base de conocimientos de VMware. Para obtener más información, consulte Cómo actualizar certificados SSL para SaltStack Config.
Solucionar problemas en entornos de SaltStack Config con instancias de vRealize Automation que utilizan certificados autofirmados
Esta solución alternativa es para los clientes que trabajan con implementaciones de vRealize Automation que utilizan un certificado firmado por una entidad de certificación no estándar.
SaltStack Config puede experimentar los siguientes síntomas:
- La primera vez que abre vRealize Automation, el navegador web muestra una advertencia de seguridad junto a la URL o en la página de visualización que indica que no se puede validar el certificado.
- Cuando intenta abrir la interfaz de usuario de SaltStack Config en el navegador web, es posible que aparezca un error 403 o una pantalla en blanco.
Estos síntomas pueden deberse a que la implementación de vRealize Automation utiliza un certificado firmado por una entidad de certificación no estándar. Para comprobar si esto provoca que SaltStack Config muestre una pantalla en blanco, utilice SSH en el nodo que aloja SaltStack Config y revise el archivo de log de RaaS (/var/log/raas/raas). Si encuentra un mensaje de error de trazabilidad que indica que no se permiten certificados autofirmados, es posible que la siguiente solución alternativa resuelva este problema.
Como práctica recomendada de seguridad, nunca debe configurar un entorno de producción para que utilice certificados autofirmados o certificados firmados incorrectamente para autenticar vRealize Automation o SaltStack Config. La práctica recomendada es, en su lugar, utilizar certificados de entidades de certificación de confianza.
Si decide utilizar certificados autofirmados o firmados incorrectamente, puede poner a su sistema en riesgo grave de infracciones de seguridad. Proceda con precaución al utilizar este procedimiento.
Si experimenta este problema y el entorno necesita seguir usando un certificado firmado por una entidad de certificación no estándar, la solución es agregar la entidad de certificación del certificado de vRealize Automation al entorno de SaltStack Config, tal como se explica en la siguiente solución alternativa.
Esta solución alternativa requiere:
- Acceso raíz
- La capacidad de utilizar SSH en el servidor RaaS
Como prácticas de seguridad recomendadas adicionales, solo se debe conceder este nivel de acceso a los individuos de mayor confianza y categoría de su organización. Tenga cuidado de restringir el acceso raíz al entorno.
Es posible que le resulte más fácil crear una entidad de certificación privada y firmar sus propios certificados de vRealize Automation con esa entidad de certificación en lugar de utilizar certificados autofirmados. La ventaja de este enfoque es que solo tiene que realizar este proceso una vez por cada certificado de vRealize Automation que necesite. De lo contrario, deberá seguir este proceso para cada certificado de vRealize Automation que cree. Para obtener más información sobre cómo crear una entidad de certificación privada, consulte Cómo firmar una solicitud de certificado con su propia entidad de certificación (desbordamiento de pila).
Para agregar un certificado firmado por una entidad de certificación no estándar a la lista de entidades de certificación en SaltStack Config:
- Intente abrir la interfaz web de vRealize Automation en su navegador. El certificado debe mostrar un mensaje de advertencia en la ventana del navegador y el campo de la URL.
- Descargue el certificado necesario.
- En navegadores Chrome: haga clic en la advertencia No es seguro en el campo de la URL para abrir un menú. Seleccione Certificado (no válido). Arrastre el certificado que falta al buscador o explorador de archivos de su equipo local para guardarlo. Seleccione el firmante de certificados (CA) si está disponible. Haga clic en el icono de certificado y, a continuación, arrástrelo al explorador de archivos del equipo local. Si la extensión del archivo no es .pem (.crt .cer .der), use el siguiente comando para convertirlo al formato .pem:
openssl x509 -inform der -in certificate.cer -out certificate.pem - En navegadores Firefox: clic en el icono de advertencia en el campo de la URL para abrir un menú. Seleccione Conexión no segura > Más información. En el cuadro de diálogo, haga clic en Ver certificado. Haga clic en el certificado que falta para descargarlo en el sistema de archivos de su equipo local.
- En navegadores Chrome: haga clic en la advertencia No es seguro en el campo de la URL para abrir un menú. Seleccione Certificado (no válido). Arrastre el certificado que falta al buscador o explorador de archivos de su equipo local para guardarlo. Seleccione el firmante de certificados (CA) si está disponible. Haga clic en el icono de certificado y, a continuación, arrástrelo al explorador de archivos del equipo local. Si la extensión del archivo no es .pem (.crt .cer .der), use el siguiente comando para convertirlo al formato .pem:
- Si aún no lo hizo, utilice SSH en el servidor de RaaS.
- Anexe el archivo de certificado al final del archivo en este directorio:
/etc/pki/tls/certs/ca-bundle.crt. Puede anexar el certificado al final del archivo mediante el siguiente comando, reemplazando el archivo de ejemplo por el nombre de archivo real:cat <certificate-file>.crt >> /etc/pki/tls/certs/ca-bundle.crt
Nota:También puede copiar archivos con la extensión
.pemmediante este comando. - Desplácese hasta el directorio
/usr/lib/systemd/systemy abra el archivoraas.serviceen el editor. Agregue la siguiente línea a este archivo en cualquier lugar por encima de la línea de ExecStart:Environment=REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt
- Vuelva a cargar el daemon y reinicie RaaS con estos comandos:
systemctl daemon-reload systemctl stop raas rm /var/log/raas/raas systemctl start raas tail -f /var/log/raas/raas
Nota:Utilice
tail -f /var/log/raas/raaspara mostrar el archivo de log de RaaS en visualización continua, lo que puede ayudar a solucionar problemas. - Inicie sesión en la interfaz web de SaltStack Config para comprobar que esta solución haya resuelto el problema. Si se resolvió el problema, SaltStack Config muestra la página Panel de control.
Qué hacer a continuación
Después de configurar los certificados SSL, es posible que deba completar los pasos posteriores a la instalación.
Si es un cliente de SaltStack SecOps, el siguiente paso es configurar estos servicios. Para obtener más información, consulte Configuración de SaltStack SecOps.
Si completó todos los pasos posteriores a la instalación necesarios, el siguiente paso es integrar SaltStack Config con vRealize Automation SaltStack SecOps. Consulte Crear una integración de SaltStack Config con vRealize Automation para obtener más información.
