Como parte del proceso posterior a la instalación, es posible que desee configurar los certificados de capa de sockets seguros (SSL). La configuración de certificados SSL es opcional cuando instala SaltStack Config, pero se recomienda.
Antes de comenzar
La configuración de los certificados SSL es un paso posterior a la instalación, en una serie de varios pasos que deben seguirse en un orden específico. En primer lugar, complete uno de los escenarios de instalación y, a continuación, lea las siguientes páginas posteriores a la instalación:
Instalar y configurar certificados SSL
Para crear los certificados SSL:
- Se necesita el paquete
python36-pyOpenSSL
para configurar SSL después de la instalación. Por lo general, este paso se completa antes de la instalación. Si no pudo instalar el paquete antes, puede hacerlo ahora. Para obtener instrucciones sobre cómo comprobar e instalar esta dependencia, consulte Dependencias requeridas de SaltStack Config. - Cree y establezca permisos para la carpeta de certificados para el servicio RaaS.
sudo mkdir -p /etc/raas/pki sudo chown raas:raas /etc/raas/pki sudo chmod 750 /etc/raas/pki
- Genere claves para el servicio de RaaS mediante Salt o proporcione las suyas propias.
sudo salt-call --local tls.create_self_signed_cert tls_dir=raas sudo chown raas:raas /etc/pki/raas/certs/localhost.crt sudo chown raas:raas /etc/pki/raas/certs/localhost.key sudo chmod 400 /etc/pki/raas/certs/localhost.crt sudo chmod 400 /etc/pki/raas/certs/localhost.key
- Para habilitar conexiones de SSL con la interfaz de usuario de SaltStack Config, genere un certificado SSL con codificación PEM o asegúrese de tener acceso a un certificado con codificación PEM existente.
- Guarde los archivos
.crt
y.key
que generó en el paso anterior para/etc/pki/raas/certs
en el nodo de RaaS. - Para actualizar la configuración del servicio de RaaS, abra
/etc/raas/raas
en un editor de texto. Configure los siguientes valores, reemplazando<filename>
por el nombre de archivo del certificado SSL:tls_crt:/etc/pki/raas/certs/<filename>.crt tls_key:/etc/pki/raas/certs/<filename>.key port:443
- Reinicie el servicio RaaS.
sudo systemctl restart raas
- Verifique si el servicio de RaaS está en ejecución.
sudo systemctl status raas
- Confirme si puede conectarse a la interfaz de usuario en un navegador web. Para ello, vaya a la dirección URL de SaltStack Config personalizada de su organización e introduzca sus credenciales. Para obtener más información sobre cómo iniciar sesión, consulte Iniciar sesión por primera vez y cambiar las credenciales predeterminadas.
Sus certificados SSL para SaltStack Config ya están configurados.
Actualizar certificados SSL
Las instrucciones para actualizar los certificados SSL para SaltStack Config están disponibles en la base de conocimientos de VMware. Para obtener más información, consulte Cómo actualizar certificados SSL para SaltStack Config.
Solucionar problemas en entornos de SaltStack Config con instancias de vRealize Automation que utilizan certificados autofirmados
Esta información es para los clientes que trabajan con implementaciones de vRealize Automation que utilizan un certificado firmado por una entidad de certificación no estándar.
SaltStack Config puede experimentar los siguientes síntomas:
- La primera vez que abre vRealize Automation, el navegador web muestra una advertencia de seguridad junto a la URL o en la página de visualización que indica que no se puede validar el certificado.
- Cuando intenta abrir la interfaz de usuario de SaltStack Config en el navegador web, es posible que aparezca un error 403 o una pantalla en blanco.
Estos síntomas pueden deberse a que la implementación de vRealize Automation utiliza un certificado firmado por una entidad de certificación no estándar. Para comprobar si esto provoca que SaltStack Config muestre una pantalla en blanco, utilice SSH en el nodo que aloja SaltStack Config y revise el archivo de log de RaaS (/var/log/raas/raas
). Si encuentra un mensaje de error de trazabilidad que indica que no se permiten certificados autofirmados, puede probar dos opciones para resolver el problema.
Como práctica recomendada de seguridad, nunca debe configurar un entorno de producción para que utilice certificados autofirmados o certificados firmados incorrectamente para autenticar vRealize Automation o SaltStack Config. La práctica recomendada es, en su lugar, utilizar certificados de entidades de certificación de confianza.
Si decide utilizar certificados autofirmados o firmados incorrectamente, puede poner a su sistema en riesgo grave de infracciones de seguridad. Proceda con precaución al utilizar este procedimiento.
Si experimenta este problema y su entorno necesita seguir usando un certificado firmado por una entidad de certificación no estándar, dispone de dos opciones.
La primera opción es agregar la entidad de certificación (CA) raíz vRealize Automation al entorno de SaltStack Config. La segunda opción es deshabilitar la validación de certificados de vRealize Automation en SaltStack Config.
Agregar la entidad de certificación (CA) raíz de vRealize Automation al entorno de SaltStack Config
Este procedimiento requiere:
- Acceso raíz
- La capacidad de utilizar SSH en el servidor RaaS
Como práctica de seguridad recomendada adicional, solo se debe conceder este nivel de acceso a los individuos de mayor confianza y categoría de su organización. Tenga cuidado de restringir el acceso raíz al entorno.
Es posible que le resulte más fácil crear una entidad de certificación privada y firmar sus propios certificados de vRealize Automation con esa entidad de certificación en lugar de utilizar certificados autofirmados. La ventaja de este enfoque es que solo tiene que realizar este proceso una vez por cada certificado de vRealize Automation que necesite. De lo contrario, deberá seguir este proceso para cada certificado de vRealize Automation que cree. Para obtener más información sobre cómo crear una entidad de certificación privada, consulte Cómo firmar una solicitud de certificado con su propia entidad de certificación (desbordamiento de pila).
Para agregar un certificado firmado por una entidad de certificación no estándar a la lista de entidades de certificación en SaltStack Config:
- Intente abrir la interfaz web de vRealize Automation en el navegador. El certificado debe mostrar un mensaje de advertencia en la ventana del navegador y el campo de la URL.
- Ejecute el siguiente script que obtiene e instala el certificado, reemplazando
<vra_fqdn>
por el FQDN de vRealize Automation:echo -n | openssl s_client -connect <vra_fqdn>:443 -showcerts | tac | sed -ne '1,/-BEGIN CERTIFICATE-/p' | tac | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' | tee -a /etc/pki/tls/certs/ca-bundle.crt && sed -i.bak '/ExecStart\=/iEnvironment=REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt' /usr/lib/systemd/system/raas.service && systemctl daemon-reload && systemctl stop raas && rm /var/log/raas/raas && systemctl start raas && echo -e 'Starting RaaS Service and tailing the log to see if errors persist. \n Please Wait' && sleep 10 && echo -e 'Relaunch the web browser and navigate to the vRASSC login page and monitor this screen for further errors.\n CTRL+C to exit the tail' && tail -f /var/log/raas/raas
- Inicie sesión en la interfaz web de SaltStack Config para comprobar que esta solución haya resuelto el problema. Si se resolvió el problema, SaltStack Config muestra la página Panel de control.
Deshabilitar validación de certificado
Para deshabilitar la validación de certificado en SaltStack Config:
- Abra el archivo de configuración de RaaS en el nodo de RaaS, que se almacena en
/etc/raas/raas
. - En la opción
vra
, establezca el valor devalidate_ssl
enfalse
. - Ejecute
systemctl restart raas
para reiniciar el servicio RaaS. - Inicie sesión en la interfaz web de SaltStack Config para comprobar que esta solución haya resuelto el problema. Si se resolvió el problema, SaltStack Config muestra la página Panel de control.
Qué hacer a continuación
Después de configurar los certificados SSL, es posible que deba completar los pasos posteriores a la instalación.
Si es un cliente de SaltStack SecOps, el siguiente paso es configurar estos servicios. Para obtener más información, consulte Configuración de SaltStack SecOps.
Si completó todos los pasos posteriores a la instalación necesarios, el siguiente paso es integrar SaltStack Config con vRealize Automation SaltStack SecOps. Consulte Configurar una integración de SaltStack Config en vRealize Automation para obtener más información.