Como parte del proceso posterior a la instalación, es posible que desee configurar los certificados de capa de sockets seguros (SSL). La configuración de certificados SSL es opcional cuando instala SaltStack Config, pero se recomienda.

Antes de comenzar

La configuración de los certificados SSL es un paso posterior a la instalación, en una serie de varios pasos que deben seguirse en un orden específico. En primer lugar, complete uno de los escenarios de instalación y, a continuación, lea las siguientes páginas posteriores a la instalación:

Instalar y configurar certificados SSL

Para crear los certificados SSL:

  1. Se necesita el paquete python36-pyOpenSSL para configurar SSL después de la instalación. Por lo general, este paso se completa antes de la instalación. Si no pudo instalar el paquete antes, puede hacerlo ahora. Para obtener instrucciones sobre cómo comprobar e instalar esta dependencia, consulte Instalar o actualizar Salt.
  2. Cree y establezca permisos para la carpeta de certificados para el servicio RaaS.
    sudo mkdir -p /etc/raas/pki
    sudo chown raas:raas /etc/raas/pki
    sudo chmod 750 /etc/raas/pki
  3. Genere claves para el servicio de RaaS mediante Salt o proporcione las suyas propias.
    sudo salt-call --local tls.create_self_signed_cert tls_dir=raas
    sudo chown raas:raas /etc/pki/raas/certs/localhost.crt
    sudo chown raas:raas /etc/pki/raas/certs/localhost.key
    sudo chmod 400 /etc/pki/raas/certs/localhost.crt
    sudo chmod 400 /etc/pki/raas/certs/localhost.key
  4. Para habilitar conexiones de SSL con la interfaz de usuario de SaltStack Config, genere un certificado SSL con codificación PEM o asegúrese de tener acceso a un certificado con codificación PEM existente.
  5. Guarde los archivos .crt y .key que generó en el paso anterior para /etc/pki/raas/certs en el nodo de RaaS.
  6. Para actualizar la configuración del servicio de RaaS, abra /etc/raas/raas en un editor de texto. Configure los siguientes valores, reemplazando <filename> por el nombre de archivo del certificado SSL:
    tls_crt:/etc/pki/raas/certs/<filename>.crt
    tls_key:/etc/pki/raas/certs/<filename>.key
    port:443
  7. Reinicie el servicio RaaS.
    sudo systemctl restart raas
  8. Verifique si el servicio de RaaS está en ejecución.
    sudo systemctl status raas
  9. Confirme si puede conectarse a la interfaz de usuario en un navegador web. Para ello, vaya a la dirección URL de SaltStack Config personalizada de su organización e introduzca sus credenciales. Para obtener más información sobre cómo iniciar sesión, consulte Iniciar sesión por primera vez y cambiar las credenciales predeterminadas.

Sus certificados SSL para SaltStack Config ya están configurados.

Actualizar certificados SSL

Las instrucciones para actualizar los certificados SSL para SaltStack Config están disponibles en la base de conocimientos de VMware. Para obtener más información, consulte Cómo actualizar certificados SSL para SaltStack Config.

Solucionar problemas en entornos de SaltStack Config con instancias de vRealize Automation que utilizan certificados autofirmados

Esta información es para los clientes que trabajan con implementaciones de vRealize Automation que utilizan un certificado firmado por una entidad de certificación no estándar.

SaltStack Config puede experimentar los siguientes síntomas:

  • La primera vez que abre vRealize Automation, el navegador web muestra una advertencia de seguridad junto a la URL o en la página de visualización que indica que no se puede validar el certificado.
  • Cuando intenta abrir la interfaz de usuario de SaltStack Config en el navegador web, es posible que aparezca un error 403 o una pantalla en blanco.

Estos síntomas pueden deberse a que la implementación de vRealize Automation utiliza un certificado firmado por una entidad de certificación no estándar. Para comprobar si esto provoca que SaltStack Config muestre una pantalla en blanco, utilice SSH en el nodo que aloja SaltStack Config y revise el archivo de log de RaaS (/var/log/raas/raas). Si encuentra un mensaje de error de trazabilidad que indica que no se permiten certificados autofirmados, puede probar dos opciones para resolver el problema.

Nota:

Como práctica recomendada de seguridad, nunca debe configurar un entorno de producción para que utilice certificados autofirmados o certificados firmados incorrectamente para autenticar vRealize Automation o SaltStack Config. La práctica recomendada es, en su lugar, utilizar certificados de entidades de certificación de confianza.

Si decide utilizar certificados autofirmados o firmados incorrectamente, puede poner a su sistema en riesgo grave de infracciones de seguridad. Proceda con precaución al utilizar este procedimiento.

Si experimenta este problema y su entorno necesita seguir usando un certificado firmado por una entidad de certificación no estándar, dispone de dos opciones.

La primera opción es agregar la entidad de certificación (CA) raíz vRealize Automation al entorno de SaltStack Config. Consulte Agregar la entidad de certificación (CA) raíz de vRealize Automation al entorno de SaltStack Config para obtener más información. La segunda opción es deshabilitar la validación de certificados de vRealize Automation en SaltStack Config. Consulte Deshabilitar validación de certificado para obtener más información.

Agregar la entidad de certificación (CA) raíz de vRealize Automation al entorno de SaltStack Config

Este procedimiento requiere:

  • Acceso raíz
  • La capacidad de utilizar SSH en el servidor RaaS
Nota:

Como prácticas de seguridad recomendadas adicionales, solo se debe conceder este nivel de acceso a los individuos de mayor confianza y categoría de su organización. Tenga cuidado de restringir el acceso raíz al entorno.

Es posible que le resulte más fácil crear una entidad de certificación privada y firmar sus propios certificados de vRealize Automation con esa entidad de certificación en lugar de utilizar certificados autofirmados. La ventaja de este enfoque es que solo tiene que realizar este proceso una vez por cada certificado de vRealize Automation que necesite. De lo contrario, deberá seguir este proceso para cada certificado de vRealize Automation que cree. Para obtener más información sobre cómo crear una entidad de certificación privada, consulte Cómo firmar una solicitud de certificado con su propia entidad de certificación (desbordamiento de pila).

Para agregar un certificado firmado por una entidad de certificación no estándar a la lista de entidades de certificación en SaltStack Config:

  1. Intente abrir la interfaz web de vRealize Automation en su navegador. El certificado debe mostrar un mensaje de advertencia en la ventana del navegador y el campo de la URL.
  2. Descargue el certificado necesario.
    • En navegadores Chrome: haga clic en la advertencia No es seguro en el campo de la URL para abrir un menú. Seleccione Certificado (no válido). Arrastre el certificado que falta al buscador o explorador de archivos de su equipo local para guardarlo. Seleccione el firmante de certificados (CA) si está disponible. Haga clic en el icono de certificado y, a continuación, arrástrelo al explorador de archivos del equipo local. Si la extensión del archivo no es .pem (.crt .cer .der), use el siguiente comando para convertirlo al formato .pem: openssl x509 -inform der -in certificate.cer -out certificate.pem
    • En navegadores Firefox: clic en el icono de advertencia en el campo de la URL para abrir un menú. Seleccione Conexión no segura > Más información. En el cuadro de diálogo, haga clic en Ver certificado. Haga clic en el certificado que falta para descargarlo en el sistema de archivos de su equipo local.
  3. Si aún no lo hizo, utilice SSH en el servidor de RaaS.
  4. Anexe el archivo de certificado al final del archivo en este directorio: /etc/pki/tls/certs/ca-bundle.crt. Puede anexar el certificado al final del archivo mediante el siguiente comando, reemplazando el archivo de ejemplo por el nombre de archivo real:
    cat <certificate-file>.crt  >> /etc/pki/tls/certs/ca-bundle.crt
    Nota:

    También puede copiar archivos con la extensión .pem mediante este comando.

  5. Desplácese hasta el directorio /usr/lib/systemd/system y abra el archivo raas.service en el editor. Agregue la siguiente línea a este archivo en cualquier lugar por encima de la línea de ExecStart:
    Environment=REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt
  6. Vuelva a cargar el daemon y reinicie RaaS con estos comandos:
    systemctl daemon-reload
    systemctl stop raas
    rm /var/log/raas/raas
    systemctl start raas
    tail -f /var/log/raas/raas
    Nota:

    Utilice tail -f /var/log/raas/raas para mostrar el archivo de log de RaaS en visualización continua, lo que puede ayudar a solucionar problemas.

  7. Inicie sesión en la interfaz web de SaltStack Config para comprobar que esta solución haya resuelto el problema. Si se resolvió el problema, SaltStack Config muestra la página Panel de control.

Deshabilitar validación de certificado

Para deshabilitar la validación de certificado en SaltStack Config:

Precaución: Deshabilitar la validación de certificado no es una opción de implementación de producción recomendada o admitida para SaltStack Config. La validación de certificado proporciona una mayor seguridad y debe ser una práctica estándar. Como opción de implementación no recomendada, VMware no ayudará a deshabilitar la validación de certificado ni los problemas que surjan de esta opción de implementación. Si decide deshabilitar esta función, lo hace bajo su propio riesgo.
  1. Abra el archivo de configuración de RaaS en el nodo de RaaS, que se almacena en /etc/raas/raas.
  2. En la opción vra, establezca el valor de validate_ssl en false.
  3. Ejecute systemctl restart raas para reiniciar el servicio RaaS.
  4. Inicie sesión en la interfaz web de SaltStack Config para comprobar que esta solución haya resuelto el problema. Si se resolvió el problema, SaltStack Config muestra la página Panel de control.

Qué hacer a continuación

Después de configurar los certificados SSL, es posible que deba completar los pasos posteriores a la instalación.

Si es un cliente de SaltStack SecOps, el siguiente paso es configurar estos servicios. Para obtener más información, consulte Configuración de SaltStack SecOps.

Si completó todos los pasos posteriores a la instalación necesarios, el siguiente paso es integrar SaltStack Config con vRealize Automation SaltStack SecOps. Consulte Crear una integración de SaltStack Config con vRealize Automation para obtener más información.