Dans le cadre du processus de post-installation, vous pouvez configurer vos certificats SSL (Secure Sockets Layer). La configuration des certificats SSL est facultative lors de l'installation de l'SaltStack Config, mais elle est recommandée.

Avant de commencer

La configuration des certificats SSL est une étape de post-installation d'une série de plusieurs étapes à suivre dans un ordre spécifique. Tout d'abord, effectuez l'un des scénarios d'installation, puis lisez les pages de post-installation suivantes :

Installer et configurer des certificats SSL

Pour créer les certificats SSL :

  1. Le module python36-pyOpenSSL est nécessaire pour configurer SSL après l'installation. Cette étape est généralement effectuée avant l'installation. Si vous n'avez pas pu l'installer avant l'installation, il peut l'être maintenant. Pour obtenir des instructions sur la vérification et l'installation de cette dépendance, reportez-vous à la section Dépendances requises de SaltStack Config.
  2. Créez et définissez des autorisations pour le dossier de certificats pour le service RaaS.
    sudo mkdir -p /etc/raas/pki
    sudo chown raas:raas /etc/raas/pki
    sudo chmod 750 /etc/raas/pki
  3. Générez des clés pour le service RaaS à l'aide de Salt ou fournissez les vôtres.
    sudo salt-call --local tls.create_self_signed_cert tls_dir=raas
    sudo chown raas:raas /etc/pki/raas/certs/localhost.crt
    sudo chown raas:raas /etc/pki/raas/certs/localhost.key
    sudo chmod 400 /etc/pki/raas/certs/localhost.crt
    sudo chmod 400 /etc/pki/raas/certs/localhost.key
  4. Pour activer les connexions SSL à l'interface utilisateur de SaltStack Config, générez un certificat SSL codé au format PEM ou assurez-vous que vous avez accès à un certificat codé au format PEM existant.
  5. Enregistrez les .crt et .key que vous avez générés à l'étape précédente dans /etc/pki/raas/certs sur le nœud RaaS.
  6. Mettez à jour la configuration du service RaaS en ouvrant /etc/raas/raas dans un éditeur de texte. Configurez les valeurs suivantes, en remplaçant <filename> par le nom de fichier de votre certificat SSL :
    tls_crt:/etc/pki/raas/certs/<filename>.crt
    tls_key:/etc/pki/raas/certs/<filename>.key
    port:443
  7. Redémarrez le service RaaS.
    sudo systemctl restart raas
  8. Vérifiez que le service RaaS est en cours d'exécution.
    sudo systemctl status raas
  9. Confirmez que vous pouvez vous connecter à l'interface utilisateur dans un navigateur Web en accédant à l'URL SaltStack Config personnalisée de votre organisation et en entrant vos informations d'identification. Pour plus d'informations sur la connexion, consultez Se connecter pour la première fois et modifier les informations d'identification par défaut.

Vos certificats SSL pour SaltStack Config sont maintenant mis en place.

Mise à jour des certificats SSL

Les instructions de mise à jour des certificats SSL SaltStack Config sont disponibles dans la base de connaissances VMware. Pour plus d'informations, reportez-vous à l'article Mise à jour des certificats SSL pour SaltStack Config.

Dépannage des environnements SaltStack Config avec vRealize Automation qui utilisent des certificats auto-signés

Ces informations s'appliquent aux clients exécutant des déploiements vRealize Automation qui utilisent un certificat signé par une autorité de certification non standard.

SaltStack Config Peut rencontrer les symptômes suivants :

  • Lorsque vous ouvrez vRealize Automation pour la première fois, votre navigateur Web affiche un avertissement de sécurité en regard de l'URL ou sur la page d'affichage indiquant que le certificat ne peut pas être validé.
  • Lorsque vous essayez d'ouvrir l'interface utilisateur SaltStack Config dans votre navigateur Web, vous pouvez obtenir une erreur 403 ou un écran vide.

Ces symptômes peuvent survenir si votre déploiement de vRealize Automation utilise un certificat signé par une autorité de certification non standard. Pour vérifier si cela entraîne l'affichage d'un écran vide par SaltStack Config, connectez-vous via SSH au nœud qui héberge SaltStack Config et consultez le fichier journal RaaS (/var/log/raas/raas). Si vous trouvez un message d'erreur avec trace d'appels indiquant que les certificats auto-signés ne sont pas autorisés, vous pouvez essayer deux options pour résoudre le problème.

Note :

En matière de sécurité, il est recommandé de ne jamais configurer un environnement de production pour utiliser des certificats auto-signés ou des certificats signés de manière incorrecte afin d'authentifier vRealize Automation ou SaltStack Config. Il est recommandé d'utiliser plutôt des certificats provenant d'autorités de certification approuvées.

Si vous choisissez d'utiliser des certificats auto-signés ou mal signés, vous pouvez exposer votre système à une faille de sécurité. Procédez avec précaution lorsque vous utilisez cette procédure.

Si vous rencontrez ce problème et que votre environnement doit continuer à utiliser un certificat signé par une autorité de certification non standard, vous disposez de deux options.

La première consiste à ajouter l'autorité de certification racine (CA) vRealize Automation à votre environnement SaltStack Config. La seconde consiste à désactiver la validation du certificat vRealize Automation dans SaltStack Config.

Ajouter l'autorité de certification racine (CA) vRealize Automation à votre environnement SaltStack Config

Cette procédure nécessite :

  • Accès racine
  • Accès SSH au serveur RaaS
Note :

Comme meilleure pratique de sécurité supplémentaire, il est recommandé que seules les personnes approuvées les plus importantes de votre organisation disposent de ce niveau d'accès. Assurez-vous de limiter l'accès racine à votre environnement.

Il peut vous sembler plus facile de créer une autorité de certification privée et de signer vos propres certificats vRealize Automation avec cette autorité de certification plutôt que d'utiliser des certificats auto-signés. L'avantage de cette approche est que vous ne devez suivre ce processus qu'une seule fois pour chaque certificat vRealize Automation dont vous avez besoin. Dans le cas contraire, vous devrez suivre ce processus pour chaque certificat vRealize Automation que vous créez. Pour plus d'informations sur la création d'une autorité de certification privée, reportez-vous à Comment signer une demande de certificat avec votre propre autorité de certification (débordement de la pile).

Pour ajouter un certificat signé par une autorité de certification non standard à la liste des autorités de certification dans SaltStack Config :

  1. Mettez l'interface Web de vRealize Automation dans votre navigateur. Le certificat doit afficher un message d'avertissement dans la fenêtre du navigateur et l'URL s'affiche.
  2. Exécutez le script suivant, qui obtient et installe le certificat, en remplaçant <vra_fqdn> par votre nom de domaine complet vRealize Automation :
    echo -n | openssl s_client -connect <vra_fqdn>:443 -showcerts | tac | sed -ne '1,/-BEGIN CERTIFICATE-/p' | tac | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' | tee -a /etc/pki/tls/certs/ca-bundle.crt && sed -i.bak '/ExecStart\=/iEnvironment=REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt' /usr/lib/systemd/system/raas.service && systemctl daemon-reload && systemctl stop raas && rm /var/log/raas/raas && systemctl start raas && echo -e 'Starting RaaS Service and tailing the log to see if errors persist. \n Please Wait' && sleep 10 && echo -e 'Relaunch the web browser and navigate to the vRASSC login page and monitor this screen for further errors.\n CTRL+C to exit the tail' && tail -f /var/log/raas/raas
  3. Vérifiez que cette solution a résolu le problème en vous connectant à l'interface Web de SaltStack Config. Si le problème a été résolu, SaltStack Config affiche la page Tableau de bord.

Désactiver la validation du certificat

Pour désactiver la validation du certificat dans SaltStack Config :

Attention : La désactivation de la validation du certificat n'est pas une option de déploiement de production recommandée ou prise en charge pour SaltStack Config. La validation des certificats assure une sécurité accrue et doit être votre pratique standard. En tant qu'option de déploiement non recommandée, VMware ne propose aucune assistance pour la désactivation de la validation de certificat ou les problèmes qui proviennent de cette option de déploiement. Si vous choisissez de désactiver cette fonctionnalité, vous le faites à vos propres risques.
  1. Ouvrez le fichier de configuration RaaS sur le nœud RaaS qui est stocké dans /etc/raas/raas.
  2. Dans le paramètre vra, définissez la valeur de validate_ssl sur false.
  3. Exécutez la commande systemctl restart raas pour redémarrer le service RaaS.
  4. Vérifiez que cette solution a résolu le problème en vous connectant à l'interface Web de SaltStack Config. Si le problème a été résolu, SaltStack Config affiche la page Tableau de bord.

Étape suivante

Après avoir installé les certificats SSL, vous devrez éventuellement effectuer des étapes de post-installation supplémentaires.

Si vous êtes un client SaltStack SecOps, l'étape suivante consiste à configurer ces services. Pour plus d'informations, reportez-vous à la section Configurer SaltStack SecOps.

Si vous avez terminé toutes les étapes de post-installation nécessaires, l'étape suivante consiste à intégrer SaltStack Config avec vRealize Automation SaltStack SecOps. Pour plus d'informations, reportez-vous à la section Configurer une intégration SaltStack Config avec vRealize Automation.