Come parte del processo di post-installazione, è possibile che si desideri configurare i certificati SSL (Secure Sockets Layer). La configurazione dei certificati SSL è facoltativa quando si installa Automation Config, ma è consigliabile eseguirla.

Prima di iniziare

L'impostazione dei certificati SSL è uno di una serie di passaggi successivi all'installazione che devono essere eseguiti in un ordine specifico. Completare innanzitutto uno degli scenari di installazione e quindi leggere le seguenti pagine dopo l'installazione:

Configurazione dei certificati SSL

Per creare i certificati SSL:

  1. Il pacchetto python36-pyOpenSSL è necessario per configurare SSL dopo l'installazione. Questo passaggio viene in genere completato prima dell'installazione. Se non è stato possibile installare il pacchetto prima dell'installazione, è possibile installarlo ora. Per istruzioni sulla verifica e l'installazione di questa dipendenza, vedere Dipendenze di Automation Config necessarie.
  2. Creare e impostare le autorizzazioni della cartella dei certificati per il servizio RaaS.
    sudo mkdir -p /etc/raas/pki
    sudo chown raas:raas /etc/raas/pki
    sudo chmod 750 /etc/raas/pki
  3. Generare le chiavi per il servizio RaaS utilizzando Salt oppure specificare chiavi personalizzate.
    sudo salt-call --local tls.create_self_signed_cert tls_dir=raas
    sudo chown raas:raas /etc/pki/raas/certs/localhost.crt
    sudo chown raas:raas /etc/pki/raas/certs/localhost.key
    sudo chmod 400 /etc/pki/raas/certs/localhost.crt
    sudo chmod 400 /etc/pki/raas/certs/localhost.key
  4. Per abilitare le connessioni SSL all'interfaccia utente di Automation Config, generare un certificato SSL con codifica PEM o assicurarsi di poter accedere a un certificato con codifica PEM esistente.
  5. Salvare i file .crt e .key generati nel passaggio precedente in /etc/pki/raas/certs nel nodo RaaS.
  6. Aggiornare la configurazione del servizio RaaS aprendo /etc/raas/raas in un editor di testo. Configurare i valori seguenti sostituendo <filename> con il nome del file del certificato SSL:
    tls_crt:/etc/pki/raas/certs/<filename>.crt
    tls_key:/etc/pki/raas/certs/<filename>.key
    port:443
  7. Riavviare il servizio RaaS.
    sudo systemctl restart raas
  8. Verificare che il servizio RaaS sia in esecuzione.
    sudo systemctl status raas
  9. Verificare che sia possibile connettersi all'interfaccia utente in un browser Web passando all'URL di Automation Config personalizzato dell'organizzazione e immettendo le proprie credenziali. Per ulteriori informazioni sull'accesso, vedere Primo accesso e modifica delle credenziali predefinite.

A questo punto, i certificati SSL per Automation Config sono configurati.

Aggiornamento dei certificati SSL

Le istruzioni per l'aggiornamento dei certificati SSL per Automation Config sono disponibili nella Knowledge Base di VMware. Per ulteriori informazioni, vedere Come aggiornare i certificati SSL per Automation Config.

Risoluzione dei problemi relativi agli ambienti Automation Config con VMware Aria Automation che utilizza certificati autofirmati

Queste informazioni sono adatte ai clienti che utilizzano distribuzioni di VMware Aria Automation che impiegano un certificato firmato da un'autorità di certificazione non standard.

È possibile che si verifichino i seguenti sintomi in Automation Config:

  • Quando si apre per la prima volta VMware Aria Automation, il browser Web mostra un avviso di sicurezza accanto all'URL o nella pagina di visualizzazione che indica che il certificato non può essere convalidato.
  • Quando si tenta di aprire l'interfaccia utente di Automation Config nel browser Web, è possibile che venga visualizzato un errore 403 o una schermata vuota.

Questi sintomi possono verificarsi se la distribuzione di VMware Aria Automation utilizza un certificato firmato da un'autorità di certificazione non standard. Per verificare se ciò sta causando la visualizzazione di una schermata vuota in Automation Config, accedere tramite SSH al nodo che ospita Automation Config ed esaminare il file di registro RaaS (/var/log/raas/raas). Se viene visualizzato un messaggio di errore di traceback che indica che i certificati autofirmati non sono consentiti, sono disponibili due opzioni che è possibile provare per risolvere il problema.

Nota:

Per motivi di sicurezza, è consigliabile non configurare mai un ambiente di produzione in modo che utilizzi certificati autofirmati o certificati firmati in modo improprio per eseguire l'autenticazione di VMware Aria Automation o Automation Config. La procedura consigliata è utilizzare i certificati di autorità di certificazione attendibili.

Se si sceglie di utilizzare certificati autofirmati o firmati in modo improprio, è possibile che il sistema venga esposto a un grave rischio di violazione della sicurezza. In questo caso, procedere quindi con cautela.

Se si verifica questo problema e l'ambiente deve continuare a utilizzare un certificato firmato da un'autorità di certificazione non standard, sono disponibili due opzioni.

La prima opzione consiste nell'aggiungere l'autorità di certificazione (CA) root di VMware Aria Automation all'ambiente di Automation Config. La seconda opzione consiste nel disabilitare la convalida del certificato di VMware Aria Automation in Automation Config.

Aggiunta dell'autorità di certificazione (CA) root di vRealize Automation all'ambiente di Automation Config

Questa procedura richiede:

  • Accesso root
  • Possibilità di accedere al server RaaS tramite SSH
Nota:

Come ulteriore procedura di sicurezza, è consigliabile concedere questo livello di accesso solo alle persone più affidabili ed esperte dell'organizzazione. Assicurarsi che l'accesso root all'ambiente sia limitato.

Potrebbe essere più semplice creare un'autorità di certificazione privata e firmare i propri certificati di VMware Aria Automation con tale autorità anziché utilizzare certificati autofirmati. Il vantaggio di questo approccio è che è sufficiente eseguire questo processo una sola volta per ogni certificato di VMware Aria Automation necessario. In caso contrario, sarà necessario eseguire questo processo per ogni certificato di vRealize Automation creato. Per ulteriori informazioni sulla creazione di un'autorità di certificazione privata, vedere Come firmare una richiesta di certificato con la propria autorità di certificazione (overflow dello stack).

Per aggiungere un certificato firmato da un'autorità di certificazione non standard all'elenco delle autorità di certificazione in Automation Config:

  1. Tentare di aprire l'interfaccia Web di vRealize Automation nel browser. Viene visualizzato un messaggio di avviso nella finestra del browser e nell'URL visualizzato.
  2. Eseguire lo script seguente che ottiene e installa il certificato sostituendo <vra_fqdn> con il nome di dominio completo VMware Aria Automation:
    echo -n | openssl s_client -connect <vra_fqdn>:443 -showcerts | tac | sed -ne '1,/-BEGIN CERTIFICATE-/p' | tac | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' | tee -a /etc/pki/tls/certs/ca-bundle.crt && sed -i.bak '/ExecStart\=/iEnvironment=REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt' /usr/lib/systemd/system/raas.service && systemctl daemon-reload && systemctl stop raas && rm /var/log/raas/raas && systemctl start raas && echo -e 'Starting RaaS Service and tailing the log to see if errors persist. \n Please Wait' && sleep 10 && echo -e 'Relaunch the web browser and navigate to the vRASSC login page and monitor this screen for further errors.\n CTRL+C to exit the tail' && tail -f /var/log/raas/raas
  3. Verificare che questa soluzione abbia risolto il problema accedendo all'interfaccia Web di Automation Config. Se il problema è stato risolto, Automation Config mostra la pagina Dashboard.

Disabilitazione della convalida del certificato

Per disabilitare la convalida del certificato in Automation Config:

Attenzione: La disabilitazione della convalida del certificato non è un'opzione di distribuzione di produzione consigliata o supportata per Automation Config. La convalida del certificato offre una maggiore sicurezza e deve essere la procedura standard. In quanto opzione di distribuzione non consigliata, VMware non consentirà di disabilitare la convalida del certificato o i problemi causati da questa opzione di distribuzione. Se si sceglie di disabilitare questa funzionalità, questa operazione sarà a proprio rischio.
  1. Aprire il file di configurazione di RaaS nel nodo RaaS archiviato in /etc/raas/raas.
  2. Nell'impostazione vra, impostare il valore di validate_ssl su false.
  3. Eseguire systemctl restart raas per riavviare il servizio RaaS.
  4. Verificare che questa soluzione abbia risolto il problema accedendo all'interfaccia Web di Automation Config. Se il problema è stato risolto, Automation Config mostra la pagina Dashboard.

Passaggi successivi

Dopo aver configurato i certificati SSL, potrebbe essere necessario completare ulteriori passaggi successivi all'installazione.

Se si è clienti di Automation for Secure Hosts, il passaggio successivo consiste nel configurare questi servizi. Per ulteriori informazioni, vedere Configurazione di Automation for Secure Hosts.

Se sono stati completati tutti i passaggi successivi all'installazione necessari, il passaggio successivo consiste nell'integrare Automation Config con VMware Aria Automation for Secure Hosts. Per ulteriori informazioni, vedere Configurazione di un'integrazione di Automation Config con Aria Automation.