Dans le cadre du processus de post-installation, vous pouvez configurer vos certificats SSL (Secure Sockets Layer). La configuration des certificats SSL est facultative lors de l'installation de l'SaltStack Config, mais elle est recommandée.
Avant de commencer
La configuration des certificats SSL est une étape de post-installation d'une série de plusieurs étapes à suivre dans un ordre spécifique. Tout d'abord, effectuez l'un des scénarios d'installation, puis lisez les pages de post-installation suivantes :
Installer et configurer des certificats SSL
Pour créer les certificats SSL :
- Le module
python36-pyOpenSSL
est nécessaire pour configurer SSL après l'installation. Cette étape est généralement effectuée avant l'installation. Si vous n'avez pas pu l'installer avant l'installation, il peut l'être maintenant. Pour obtenir des instructions sur la vérification et l'installation de cette dépendance, consultez Installer ou mettre à niveau Salt. - Créez et définissez des autorisations pour le dossier de certificats pour le service RaaS.
sudo mkdir -p /etc/raas/pki sudo chown raas:raas /etc/raas/pki sudo chmod 750 /etc/raas/pki
- Générez des clés pour le service RaaS à l'aide de Salt ou fournissez les vôtres.
sudo salt-call --local tls.create_self_signed_cert tls_dir=raas sudo chown raas:raas /etc/pki/raas/certs/localhost.crt sudo chown raas:raas /etc/pki/raas/certs/localhost.key sudo chmod 400 /etc/pki/raas/certs/localhost.crt sudo chmod 400 /etc/pki/raas/certs/localhost.key
- Pour activer les connexions SSL à l'interface utilisateur de SaltStack Config, générez un certificat SSL codé au format PEM ou assurez-vous que vous avez accès à un certificat codé au format PEM existant.
- Enregistrez les
.crt
et.key
que vous avez générés à l'étape précédente dans/etc/pki/raas/certs
sur le nœud RaaS. - Mettez à jour la configuration du service RaaS en ouvrant
/etc/raas/raas
dans un éditeur de texte. Configurez les valeurs suivantes, en remplaçant<filename>
par le nom de fichier de votre certificat SSL :tls_crt:/etc/pki/raas/certs/<filename>.crt tls_key:/etc/pki/raas/certs/<filename>.key port:443
- Redémarrez le service RaaS.
sudo systemctl restart raas
- Vérifiez que le service RaaS est en cours d'exécution.
sudo systemctl status raas
- Confirmez que vous pouvez vous connecter à l'interface utilisateur dans un navigateur Web en accédant à l'URL SaltStack Config personnalisée de votre organisation et en entrant vos informations d'identification. Pour plus d'informations sur la connexion, consultez Se connecter pour la première fois et modifier les informations d'identification par défaut.
Vos certificats SSL pour SaltStack Config sont maintenant mis en place.
Mise à jour des certificats SSL
Les instructions de mise à jour des certificats SSL SaltStack Config sont disponibles dans la base de connaissances VMware. Pour plus d'informations, reportez-vous à l'article Mise à jour des certificats SSL pour SaltStack Config.
Dépannage des environnements SaltStack Config avec vRealize Automation qui utilisent des certificats auto-signés
Ces informations s'appliquent aux clients exécutant des déploiements vRealize Automation qui utilisent un certificat signé par une autorité de certification non standard.
SaltStack Config Peut rencontrer les symptômes suivants :
- Lorsque vous ouvrez vRealize Automation pour la première fois, votre navigateur Web affiche un avertissement de sécurité en regard de l'URL ou sur la page d'affichage indiquant que le certificat ne peut pas être validé.
- Lorsque vous essayez d'ouvrir l'interface utilisateur SaltStack Config dans votre navigateur Web, vous pouvez obtenir une erreur 403 ou un écran vide.
Ces symptômes peuvent survenir si votre déploiement de vRealize Automation utilise un certificat signé par une autorité de certification non standard. Pour vérifier si cela entraîne l'affichage d'un écran vide par SaltStack Config, connectez-vous via SSH au nœud qui héberge SaltStack Config et consultez le fichier journal RaaS (/var/log/raas/raas
). Si vous trouvez un message d'erreur avec trace d'appels indiquant que les certificats auto-signés ne sont pas autorisés, vous pouvez essayer deux options pour résoudre le problème.
En matière de sécurité, il est recommandé de ne jamais configurer un environnement de production pour utiliser des certificats auto-signés ou des certificats signés de manière incorrecte afin d'authentifier vRealize Automation ou SaltStack Config. Il est recommandé d'utiliser plutôt des certificats provenant d'autorités de certification approuvées.
Si vous choisissez d'utiliser des certificats auto-signés ou mal signés, vous pouvez exposer votre système à une faille de sécurité. Procédez avec précaution lorsque vous utilisez cette procédure.
Si vous rencontrez ce problème et que votre environnement doit continuer à utiliser un certificat signé par une autorité de certification non standard, vous disposez de deux options.
La première consiste à ajouter l'autorité de certification racine (CA) vRealize Automation à votre environnement SaltStack Config. Consultez Ajouter l'autorité de certification racine (CA) vRealize Automation à votre environnement SaltStack Config pour plus d'informations. La seconde consiste à désactiver la validation du certificat vRealize Automation dans SaltStack Config. Consultez Désactiver la validation du certificat pour plus d'informations.
Ajouter l'autorité de certification racine (CA) vRealize Automation à votre environnement SaltStack Config
Cette procédure nécessite :
- Accès racine
- Accès SSH au serveur RaaS
Comme meilleure pratique de sécurité supplémentaire, il est recommandé que seules les personnes approuvées les plus importantes de votre organisation disposent de ce niveau d'accès. Assurez-vous de limiter l'accès racine à votre environnement.
Il peut vous sembler plus facile de créer une autorité de certification privée et de signer vos propres certificats vRealize Automation avec cette autorité de certification plutôt que d'utiliser des certificats auto-signés. L'avantage de cette approche est que vous ne devez suivre ce processus qu'une seule fois pour chaque certificat vRealize Automation dont vous avez besoin. Dans le cas contraire, vous devrez suivre ce processus pour chaque certificat vRealize Automation que vous créez. Pour plus d'informations sur la création d'une autorité de certification privée, reportez-vous à Comment signer une demande de certificat avec votre propre autorité de certification (débordement de la pile).
Pour ajouter un certificat signé par une autorité de certification non standard à la liste des autorités de certification dans SaltStack Config :
- Mettez l'interface Web de vRealize Automation dans votre navigateur. Le certificat doit afficher un message d'avertissement dans la fenêtre du navigateur et l'URL s'affiche.
- Exécutez le script suivant, qui obtient et installe le certificat, en remplaçant
<vra_fqdn>
par votre nom de domaine complet vRealize Automation :echo -n | openssl s_client -connect <vra_fqdn>:443 -showcerts | tac | sed -ne '1,/-BEGIN CERTIFICATE-/p' | tac | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' | tee -a /etc/pki/tls/certs/ca-bundle.crt && sed -i.bak '/ExecStart\=/iEnvironment=REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt' /usr/lib/systemd/system/raas.service && systemctl daemon-reload && systemctl stop raas && rm /var/log/raas/raas && systemctl start raas && echo -e 'Starting RaaS Service and tailing the log to see if errors persist. \n Please Wait' && sleep 10 && echo -e 'Relaunch the web browser and navigate to the vRASSC login page and monitor this screen for further errors.\n CTRL+C to exit the tail' && tail -f /var/log/raas/raas
- Vérifiez que cette solution a résolu le problème en vous connectant à l'interface Web de SaltStack Config. Si le problème a été résolu, SaltStack Config affiche la page Tableau de bord.
Désactiver la validation du certificat
Pour désactiver la validation du certificat dans SaltStack Config :
- Ouvrez le fichier de configuration RaaS sur le nœud RaaS qui est stocké dans
/etc/raas/raas
. - Dans le paramètre
vra
, définissez la valeur devalidate_ssl
surfalse
. - Exécutez la commande
systemctl restart raas
pour redémarrer le service RaaS. - Vérifiez que cette solution a résolu le problème en vous connectant à l'interface Web de SaltStack Config. Si le problème a été résolu, SaltStack Config affiche la page Tableau de bord.
Étape suivante
Après avoir installé les certificats SSL, vous devrez éventuellement effectuer des étapes de post-installation supplémentaires.
Si vous êtes un client SaltStack SecOps, l'étape suivante consiste à configurer ces services. Pour plus d'informations, reportez-vous à la section Configurer SaltStack SecOps.
Si vous avez terminé toutes les étapes de post-installation nécessaires, l'étape suivante consiste à intégrer SaltStack Config avec vRealize Automation SaltStack SecOps. Pour plus d'informations, reportez-vous à Créer une intégration SaltStack Config avec vRealize Automation.