Dans le cadre du processus de post-installation, vous pouvez configurer vos certificats SSL (Secure Sockets Layer). La configuration des certificats SSL est facultative lors de l'installation de l'SaltStack Config, mais elle est recommandée.
Avant de commencer
La configuration des certificats SSL est une étape de post-installation d'une série de plusieurs étapes à suivre dans un ordre spécifique. Tout d'abord, effectuez l'un des scénarios d'installation, puis lisez les pages de post-installation suivantes :
Installer et configurer des certificats SSL
Pour créer les certificats SSL :
- Le module
python36-pyOpenSSL
est nécessaire pour configurer SSL après l'installation. Cette étape est généralement effectuée avant l'installation. Si vous n'avez pas pu l'installer avant l'installation, il peut l'être maintenant. Pour obtenir des instructions sur la vérification et l'installation de cette dépendance, consultez Installer ou mettre à niveau Salt. - Créez et définissez des autorisations pour le dossier de certificats pour le service RaaS.
sudo mkdir -p /etc/raas/pki sudo chown raas:raas /etc/raas/pki sudo chmod 750 /etc/raas/pki
- Générez des clés pour le service RaaS à l'aide de Salt ou fournissez les vôtres.
sudo salt-call --local tls.create_self_signed_cert tls_dir=raas sudo chown raas:raas /etc/pki/raas/certs/localhost.crt sudo chown raas:raas /etc/pki/raas/certs/localhost.key sudo chmod 400 /etc/pki/raas/certs/localhost.crt sudo chmod 400 /etc/pki/raas/certs/localhost.key
- Pour activer les connexions SSL à l'interface utilisateur de SaltStack Config, générez un certificat SSL codé au format PEM ou assurez-vous que vous avez accès à un certificat codé au format PEM existant.
- Enregistrez les
.crt
et.key
que vous avez générés à l'étape précédente dans/etc/pki/raas/certs
sur le nœud RaaS. - Mettez à jour la configuration du service RaaS en ouvrant
/etc/raas/raas
dans un éditeur de texte. Configurez les valeurs suivantes, en remplaçant<filename>
par le nom de fichier de votre certificat SSL :tls_crt:/etc/pki/raas/certs/<filename>.crt tls_key:/etc/pki/raas/certs/<filename>.key port:443
- Redémarrez le service RaaS.
sudo systemctl restart raas
- Vérifiez que le service RaaS est en cours d'exécution.
sudo systemctl status raas
- Confirmez que vous pouvez vous connecter à l'interface utilisateur dans un navigateur Web en accédant à l'URL SaltStack Config personnalisée de votre organisation et en entrant vos informations d'identification. Pour plus d'informations sur la connexion, consultez Se connecter pour la première fois et modifier les informations d'identification par défaut.
Vos certificats SSL pour SaltStack Config sont maintenant mis en place.
Mise à jour des certificats SSL
Les instructions de mise à jour des certificats SSL SaltStack Config sont disponibles dans la base de connaissances VMware. Pour plus d'informations, reportez-vous à l'article Mise à jour des certificats SSL pour SaltStack Config.
Dépannage des environnements SaltStack Config avec vRealize Automation qui utilisent des certificats auto-signés
Ces informations s'appliquent aux clients exécutant des déploiements vRealize Automation qui utilisent un certificat signé par une autorité de certification non standard.
SaltStack Config Peut rencontrer les symptômes suivants :
- Lorsque vous ouvrez vRealize Automation pour la première fois, votre navigateur Web affiche un avertissement de sécurité en regard de l'URL ou sur la page d'affichage indiquant que le certificat ne peut pas être validé.
- Lorsque vous essayez d'ouvrir l'interface utilisateur SaltStack Config dans votre navigateur Web, vous pouvez obtenir une erreur 403 ou un écran vide.
Ces symptômes peuvent survenir si votre déploiement de vRealize Automation utilise un certificat signé par une autorité de certification non standard. Pour vérifier si cela entraîne l'affichage d'un écran vide par SaltStack Config, connectez-vous via SSH au nœud qui héberge SaltStack Config et consultez le fichier journal RaaS (/var/log/raas/raas
). Si vous trouvez un message d'erreur avec trace d'appels indiquant que les certificats auto-signés ne sont pas autorisés, vous pouvez essayer deux options pour résoudre le problème.
En matière de sécurité, il est recommandé de ne jamais configurer un environnement de production pour utiliser des certificats auto-signés ou des certificats signés de manière incorrecte afin d'authentifier vRealize Automation ou SaltStack Config. Il est recommandé d'utiliser plutôt des certificats provenant d'autorités de certification approuvées.
Si vous choisissez d'utiliser des certificats auto-signés ou mal signés, vous pouvez exposer votre système à une faille de sécurité. Procédez avec précaution lorsque vous utilisez cette procédure.
Si vous rencontrez ce problème et que votre environnement doit continuer à utiliser un certificat signé par une autorité de certification non standard, vous disposez de deux options.
La première consiste à ajouter l'autorité de certification racine (CA) vRealize Automation à votre environnement SaltStack Config. Consultez Ajouter l'autorité de certification racine (CA) vRealize Automation à votre environnement SaltStack Config pour plus d'informations. La seconde consiste à désactiver la validation du certificat vRealize Automation dans SaltStack Config. Consultez Désactiver la validation du certificat pour plus d'informations.
Ajouter l'autorité de certification racine (CA) vRealize Automation à votre environnement SaltStack Config
Cette procédure nécessite :
- Accès racine
- Accès SSH au serveur RaaS
Comme meilleure pratique de sécurité supplémentaire, il est recommandé que seules les personnes approuvées les plus importantes de votre organisation disposent de ce niveau d'accès. Assurez-vous de limiter l'accès racine à votre environnement.
Il peut vous sembler plus facile de créer une autorité de certification privée et de signer vos propres certificats vRealize Automation avec cette autorité de certification plutôt que d'utiliser des certificats auto-signés. L'avantage de cette approche est que vous ne devez suivre ce processus qu'une seule fois pour chaque certificat vRealize Automation dont vous avez besoin. Dans le cas contraire, vous devrez suivre ce processus pour chaque certificat vRealize Automation que vous créez. Pour plus d'informations sur la création d'une autorité de certification privée, reportez-vous à Comment signer une demande de certificat avec votre propre autorité de certification (débordement de la pile).
Pour ajouter un certificat signé par une autorité de certification non standard à la liste des autorités de certification dans SaltStack Config :
- Essayez d'ouvrir l'interface Web de vRealize Automation dans votre navigateur. Le certificat doit afficher un message d'avertissement dans la fenêtre du navigateur et l'URL s'affiche.
- Téléchargez le certificat requis.
- Pour les navigateurs Chrome : cliquez sur l'avertissement Not Secure dans la barre d'URL pour ouvrir un menu. Sélectionnez Certificate (invalid). Faites glisser le certificat manquant vers l'explorateur de fichiers ou l'application Finder de votre ordinateur local pour l'enregistrer. Choisissez le signataire du certificat (CA) s'il est disponible. Cliquez sur l'icône du certificat, puis faites-la glisser vers l'explorateur de fichiers de votre ordinateur local. Si l'extension de fichier n'est pas .pem (.crt, .cer ou .der), utilisez la commande suivante pour la convertir au format .pem :
openssl x509 -inform der -in certificate.cer -out certificate.pem
- Pour les navigateurs Firefox : cliquez sur l'icône d'avertissement dans la barre d'URL pour ouvrir un menu. Sélectionnez Connection not secure > More information. Dans la boîte de dialogue, cliquez sur Afficher le certificat. Cliquez sur le certificat manquant pour le télécharger sur le système de fichiers de votre ordinateur local.
- Pour les navigateurs Chrome : cliquez sur l'avertissement Not Secure dans la barre d'URL pour ouvrir un menu. Sélectionnez Certificate (invalid). Faites glisser le certificat manquant vers l'explorateur de fichiers ou l'application Finder de votre ordinateur local pour l'enregistrer. Choisissez le signataire du certificat (CA) s'il est disponible. Cliquez sur l'icône du certificat, puis faites-la glisser vers l'explorateur de fichiers de votre ordinateur local. Si l'extension de fichier n'est pas .pem (.crt, .cer ou .der), utilisez la commande suivante pour la convertir au format .pem :
- Si ce n'est pas déjà fait, connectez-vous via SSH au serveur RaaS.
- Ajoutez le fichier de certificat à la fin du fichier dans ce répertoire :
/etc/pki/tls/certs/ca-bundle.crt
. Vous pouvez ajouter le certificat à la fin du fichier à l'aide de la commande suivante, en remplaçant l'exemple de fichier par votre nom de fichier réel :cat <certificate-file>.crt >> /etc/pki/tls/certs/ca-bundle.crt
Note :Vous pouvez également copier des fichiers avec l'extension
.pem
à l'aide de cette commande. - Accédez au répertoire
/usr/lib/systemd/system
et ouvrez le fichierraas.service
dans un éditeur. Ajoutez la ligne suivante à ce fichier à n'importe quel endroit au-dessus de la ligne ExecStart :Environment=REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt
- Rechargez le processus et redémarrez RaaS à l’aide de ces commandes :
systemctl daemon-reload systemctl stop raas rm /var/log/raas/raas systemctl start raas tail -f /var/log/raas/raas
Note :Utilisez
tail -f /var/log/raas/raas
pour afficher le fichier journal RaaS en continu, ce qui peut faciliter le dépannage. - Vérifiez que cette solution a résolu le problème en vous connectant à l'interface Web de SaltStack Config. Si le problème a été résolu, SaltStack Config affiche la page Tableau de bord.
Désactiver la validation du certificat
Pour désactiver la validation du certificat dans SaltStack Config :
- Ouvrez le fichier de configuration RaaS sur le nœud RaaS qui est stocké dans
/etc/raas/raas
. - Dans le paramètre
vra
, définissez la valeur devalidate_ssl
surfalse
. - Exécutez la commande
systemctl restart raas
pour redémarrer le service RaaS. - Vérifiez que cette solution a résolu le problème en vous connectant à l'interface Web de SaltStack Config. Si le problème a été résolu, SaltStack Config affiche la page Tableau de bord.
Étape suivante
Après avoir installé les certificats SSL, vous devrez éventuellement effectuer des étapes de post-installation supplémentaires.
Si vous êtes un client SaltStack SecOps, l'étape suivante consiste à configurer ces services. Pour plus d'informations, reportez-vous à la section Configurer SaltStack SecOps.
Si vous avez terminé toutes les étapes de post-installation nécessaires, l'étape suivante consiste à intégrer SaltStack Config avec vRealize Automation SaltStack SecOps. Pour plus d'informations, reportez-vous à Créer une intégration SaltStack Config avec vRealize Automation.