Come parte del processo di post-installazione, è possibile che si desideri configurare i certificati SSL (Secure Sockets Layer). La configurazione dei certificati SSL è facoltativa quando si installa SaltStack Config, ma è consigliabile eseguirla.

Prima di iniziare

L'impostazione dei certificati SSL è uno di una serie di passaggi successivi all'installazione che devono essere eseguiti in un ordine specifico. Completare innanzitutto uno degli scenari di installazione e quindi leggere le seguenti pagine dopo l'installazione:

Configurazione dei certificati SSL

Per creare i certificati SSL:

  1. Il pacchetto python36-pyOpenSSL è necessario per configurare SSL dopo l'installazione. Questo passaggio viene in genere completato prima dell'installazione. Se non è stato possibile installare il pacchetto prima dell'installazione, è possibile installarlo ora. Per istruzioni sulla verifica e l'installazione di questa dipendenza, vedere Installazione o aggiornamento di Salt.
  2. Creare e impostare le autorizzazioni della cartella dei certificati per il servizio RaaS.
    sudo mkdir -p /etc/raas/pki
    sudo chown raas:raas /etc/raas/pki
    sudo chmod 750 /etc/raas/pki
  3. Generare le chiavi per il servizio RaaS utilizzando Salt oppure specificare chiavi personalizzate.
    sudo salt-call --local tls.create_self_signed_cert tls_dir=raas
    sudo chown raas:raas /etc/pki/raas/certs/localhost.crt
    sudo chown raas:raas /etc/pki/raas/certs/localhost.key
    sudo chmod 400 /etc/pki/raas/certs/localhost.crt
    sudo chmod 400 /etc/pki/raas/certs/localhost.key
  4. Per abilitare le connessioni SSL all'interfaccia utente di SaltStack Config, generare un certificato SSL con codifica PEM o assicurarsi di poter accedere a un certificato con codifica PEM esistente.
  5. Salvare i file .crt e .key generati nel passaggio precedente in /etc/pki/raas/certs nel nodo RaaS.
  6. Aggiornare la configurazione del servizio RaaS aprendo /etc/raas/raas in un editor di testo. Configurare i valori seguenti sostituendo <filename> con il nome del file del certificato SSL:
    tls_crt:/etc/pki/raas/certs/<filename>.crt
    tls_key:/etc/pki/raas/certs/<filename>.key
    port:443
  7. Riavviare il servizio RaaS.
    sudo systemctl restart raas
  8. Verificare che il servizio RaaS sia in esecuzione.
    sudo systemctl status raas
  9. Verificare che sia possibile connettersi all'interfaccia utente in un browser Web passando all'URL di SaltStack Config personalizzato dell'organizzazione e immettendo le proprie credenziali. Per ulteriori informazioni sull'accesso, vedere Primo accesso e modifica delle credenziali predefinite.

A questo punto, i certificati SSL per SaltStack Config sono configurati.

Aggiornamento dei certificati SSL

Le istruzioni per l'aggiornamento dei certificati SSL per SaltStack Config sono disponibili nella Knowledge Base di VMware. Per ulteriori informazioni, vedere Come aggiornare i certificati SSL per SaltStack Config.

Risoluzione dei problemi relativi agli ambienti SaltStack Config con vRealize Automation che utilizza certificati autofirmati

Questa soluzione alternativa è adatta ai clienti che utilizzano distribuzioni di vRealize Automation che impiegano un certificato firmato da un'autorità di certificazione non standard.

È possibile che si verifichino i seguenti sintomi in SaltStack Config:

  • Quando si apre per la prima volta vRealize Automation, il browser Web mostra un avviso di sicurezza accanto all'URL o nella pagina di visualizzazione che indica che il certificato non può essere convalidato.
  • Quando si tenta di aprire l'interfaccia utente di SaltStack Config nel browser Web, è possibile che venga visualizzato un errore 403 o una schermata vuota.

Questi sintomi possono verificarsi se la distribuzione di vRealize Automation utilizza un certificato firmato da un'autorità di certificazione non standard. Per verificare se ciò sta causando la visualizzazione di una schermata vuota in SaltStack Config, accedere tramite SSH al nodo che ospita SaltStack Config ed esaminare il file di registro RaaS (/var/log/raas/raas). Se viene visualizzato un messaggio di errore di traceback che indica che i certificati autofirmati non sono consentiti, la seguente soluzione può risolvere il problema.

Nota:

Per motivi di sicurezza, è consigliabile non configurare mai un ambiente di produzione in modo che utilizzi certificati autofirmati o certificati firmati in modo improprio per eseguire l'autenticazione di vRealize Automation o SaltStack Config. La procedura consigliata è utilizzare i certificati di autorità di certificazione attendibili.

Se si sceglie di utilizzare certificati autofirmati o firmati in modo improprio, è possibile che il sistema venga esposto a un grave rischio di violazione della sicurezza. In questo caso, procedere quindi con cautela.

Se si verifica questo problema e l'ambiente deve continuare a utilizzare un certificato firmato da un'autorità di certificazione non standard, la soluzione consiste nell'aggiungere l'autorità di certificazione del certificato di vRealize Automation all'ambiente SaltStack Config, come illustrato nella soluzione alternativa seguente.

Questa soluzione richiede:

  • Accesso root
  • Possibilità di accedere al server RaaS tramite SSH
Nota:

Come ulteriore procedura di sicurezza, è consigliabile concedere questo livello di accesso solo alle persone più affidabili ed esperte dell'organizzazione. Assicurarsi che l'accesso root all'ambiente sia limitato.

Potrebbe essere più semplice creare un'autorità di certificazione privata e firmare i propri certificati di vRealize Automation con tale autorità anziché utilizzare certificati autofirmati. Il vantaggio di questo approccio è che è sufficiente eseguire questo processo una sola volta per ogni certificato di vRealize Automation necessario. In caso contrario, sarà necessario eseguire questo processo per ogni certificato di vRealize Automation creato. Per ulteriori informazioni sulla creazione di un'autorità di certificazione privata, vedere Come firmare una richiesta di certificato con la propria autorità di certificazione (overflow dello stack).

Per aggiungere un certificato firmato da un'autorità di certificazione non standard all'elenco delle autorità di certificazione in SaltStack Config:

  1. Tentare di aprire l'interfaccia Web di vRealize Automation nel browser. Viene visualizzato un messaggio di avviso nella finestra del browser e nell'URL visualizzato.
  2. Scaricare il certificato necessario.
    • Per i browser Chrome: fare clic sull'avviso Non sicuro nell'URL visualizzato per aprire un menu. Selezionare Certificato (non valido). Trascinare il certificato mancante in Esplora file o nel Finder del proprio computer locale per salvarlo. Scegliere il firmatario del certificato (CA), se disponibile. Fare clic sull'icona del certificato e trascinarla in Esplora file del computer locale. Se l'estensione del file non è .pem (.crt .cer .der), utilizzare il comando seguente per convertirlo in formato .pem: openssl x509 -inform der -in certificate.cer -out certificate.pem
    • Per i browser Firefox: fare clic sull'icona di avviso nell'URL visualizzato per aprire un menu. Selezionare Connessione non sicura > Altre informazioni. Nella finestra di dialogo, fare clic su Visualizza certificato. Fare clic sul certificato mancante per scaricarlo nel file system del computer locale.
  3. Se non ancora fatto, accedere tramite SSH al server RaaS.
  4. Accodare il file del certificato alla fine del file in questa directory: /etc/pki/tls/certs/ca-bundle.crt. È possibile aggiungere il certificato alla fine del file utilizzando il comando seguente, sostituendo il file di esempio con il nome file effettivo:
    cat <certificate-file>.crt  >> /etc/pki/tls/certs/ca-bundle.crt
    Nota:

    È inoltre possibile copiare i file con estensione .pem utilizzando questo comando.

  5. Passare alla directory /usr/lib/systemd/system e aprire il file raas.service nell'editor. Aggiungere la seguente riga a questo file in qualsiasi punto sopra la riga ExecStart:
    Environment=REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt
  6. Ricaricare il daemon e riavviare RaaS utilizzando questi comandi:
    systemctl daemon-reload
    systemctl stop raas
    rm /var/log/raas/raas
    systemctl start raas
    tail -f /var/log/raas/raas
    Nota:

    Utilizzare tail -f /var/log/raas/raas per visualizzare il file di registro RaaS in modo continuativo, operazione che può essere utile per la risoluzione dei problemi.

  7. Verificare che questa soluzione abbia risolto il problema accedendo all'interfaccia Web di SaltStack Config. Se il problema è stato risolto, SaltStack Config mostra la pagina Dashboard.

Passaggi successivi

Dopo aver configurato i certificati SSL, potrebbe essere necessario completare ulteriori passaggi successivi all'installazione.

Se si è clienti di SaltStack SecOps, il passaggio successivo consiste nel configurare questi servizi. Per ulteriori informazioni, vedere Configurazione di SaltStack SecOps.

Se sono stati completati tutti i passaggi successivi all'installazione necessari, il passaggio successivo consiste nell'integrare SaltStack Config con vRealize Automation SaltStack SecOps. Per ulteriori informazioni, vedere Creazione di un'integrazione di SaltStack Config con vRealize Automation.