Come parte del processo di post-installazione, è possibile che si desideri configurare i certificati SSL (Secure Sockets Layer). La configurazione dei certificati SSL è facoltativa quando si installa SaltStack Config, ma è consigliabile eseguirla.
Prima di iniziare
L'impostazione dei certificati SSL è uno di una serie di passaggi successivi all'installazione che devono essere eseguiti in un ordine specifico. Completare innanzitutto uno degli scenari di installazione e quindi leggere le seguenti pagine dopo l'installazione:
Configurazione dei certificati SSL
Per creare i certificati SSL:
- Il pacchetto
python36-pyOpenSSL
è necessario per configurare SSL dopo l'installazione. Questo passaggio viene in genere completato prima dell'installazione. Se non è stato possibile installare il pacchetto prima dell'installazione, è possibile installarlo ora. Per istruzioni sulla verifica e l'installazione di questa dipendenza, vedere Installazione o aggiornamento di Salt. - Creare e impostare le autorizzazioni della cartella dei certificati per il servizio RaaS.
sudo mkdir -p /etc/raas/pki sudo chown raas:raas /etc/raas/pki sudo chmod 750 /etc/raas/pki
- Generare le chiavi per il servizio RaaS utilizzando Salt oppure specificare chiavi personalizzate.
sudo salt-call --local tls.create_self_signed_cert tls_dir=raas sudo chown raas:raas /etc/pki/raas/certs/localhost.crt sudo chown raas:raas /etc/pki/raas/certs/localhost.key sudo chmod 400 /etc/pki/raas/certs/localhost.crt sudo chmod 400 /etc/pki/raas/certs/localhost.key
- Per abilitare le connessioni SSL all'interfaccia utente di SaltStack Config, generare un certificato SSL con codifica PEM o assicurarsi di poter accedere a un certificato con codifica PEM esistente.
- Salvare i file
.crt
e.key
generati nel passaggio precedente in/etc/pki/raas/certs
nel nodo RaaS. - Aggiornare la configurazione del servizio RaaS aprendo
/etc/raas/raas
in un editor di testo. Configurare i valori seguenti sostituendo<filename>
con il nome del file del certificato SSL:tls_crt:/etc/pki/raas/certs/<filename>.crt tls_key:/etc/pki/raas/certs/<filename>.key port:443
- Riavviare il servizio RaaS.
sudo systemctl restart raas
- Verificare che il servizio RaaS sia in esecuzione.
sudo systemctl status raas
- Verificare che sia possibile connettersi all'interfaccia utente in un browser Web passando all'URL di SaltStack Config personalizzato dell'organizzazione e immettendo le proprie credenziali. Per ulteriori informazioni sull'accesso, vedere Primo accesso e modifica delle credenziali predefinite.
A questo punto, i certificati SSL per SaltStack Config sono configurati.
Aggiornamento dei certificati SSL
Le istruzioni per l'aggiornamento dei certificati SSL per SaltStack Config sono disponibili nella Knowledge Base di VMware. Per ulteriori informazioni, vedere Come aggiornare i certificati SSL per SaltStack Config.
Risoluzione dei problemi relativi agli ambienti SaltStack Config con vRealize Automation che utilizza certificati autofirmati
Queste informazioni sono adatte ai clienti che utilizzano distribuzioni di vRealize Automation che impiegano un certificato firmato da un'autorità di certificazione non standard.
È possibile che si verifichino i seguenti sintomi in SaltStack Config:
- Quando si apre per la prima volta vRealize Automation, il browser Web mostra un avviso di sicurezza accanto all'URL o nella pagina di visualizzazione che indica che il certificato non può essere convalidato.
- Quando si tenta di aprire l'interfaccia utente di SaltStack Config nel browser Web, è possibile che venga visualizzato un errore 403 o una schermata vuota.
Questi sintomi possono verificarsi se la distribuzione di vRealize Automation utilizza un certificato firmato da un'autorità di certificazione non standard. Per verificare se ciò sta causando la visualizzazione di una schermata vuota in SaltStack Config, accedere tramite SSH al nodo che ospita SaltStack Config ed esaminare il file di registro RaaS (/var/log/raas/raas
). Se viene visualizzato un messaggio di errore di traceback che indica che i certificati autofirmati non sono consentiti, sono disponibili due opzioni che è possibile provare per risolvere il problema.
Per motivi di sicurezza, è consigliabile non configurare mai un ambiente di produzione in modo che utilizzi certificati autofirmati o certificati firmati in modo improprio per eseguire l'autenticazione di vRealize Automation o SaltStack Config. La procedura consigliata è utilizzare i certificati di autorità di certificazione attendibili.
Se si sceglie di utilizzare certificati autofirmati o firmati in modo improprio, è possibile che il sistema venga esposto a un grave rischio di violazione della sicurezza. In questo caso, procedere quindi con cautela.
Se si verifica questo problema e l'ambiente deve continuare a utilizzare un certificato firmato da un'autorità di certificazione non standard, sono disponibili due opzioni.
La prima opzione consiste nell'aggiungere l'autorità di certificazione (CA) root di vRealize Automation all'ambiente di SaltStack Config. Vedere Aggiunta dell'autorità di certificazione (CA) root di vRealize Automation all'ambiente di SaltStack Config per ulteriori informazioni. La seconda opzione consiste nel disabilitare la convalida del certificato di vRealize Automation in SaltStack Config. Vedere Disabilitazione della convalida del certificato per ulteriori informazioni.
Aggiunta dell'autorità di certificazione (CA) root di vRealize Automation all'ambiente di SaltStack Config
Questa procedura richiede:
- Accesso root
- Possibilità di accedere al server RaaS tramite SSH
Come ulteriore procedura di sicurezza, è consigliabile concedere questo livello di accesso solo alle persone più affidabili ed esperte dell'organizzazione. Assicurarsi che l'accesso root all'ambiente sia limitato.
Potrebbe essere più semplice creare un'autorità di certificazione privata e firmare i propri certificati di vRealize Automation con tale autorità anziché utilizzare certificati autofirmati. Il vantaggio di questo approccio è che è sufficiente eseguire questo processo una sola volta per ogni certificato di vRealize Automation necessario. In caso contrario, sarà necessario eseguire questo processo per ogni certificato di vRealize Automation creato. Per ulteriori informazioni sulla creazione di un'autorità di certificazione privata, vedere Come firmare una richiesta di certificato con la propria autorità di certificazione (overflow dello stack).
Per aggiungere un certificato firmato da un'autorità di certificazione non standard all'elenco delle autorità di certificazione in SaltStack Config:
- Tentare di aprire l'interfaccia Web di vRealize Automation nel browser. Viene visualizzato un messaggio di avviso nella finestra del browser e nell'URL visualizzato.
- Scaricare il certificato necessario.
- Per i browser Chrome: fare clic sull'avviso Non sicuro nell'URL visualizzato per aprire un menu. Selezionare Certificato (non valido). Trascinare il certificato mancante in Esplora file o nel Finder del proprio computer locale per salvarlo. Scegliere il firmatario del certificato (CA), se disponibile. Fare clic sull'icona del certificato e trascinarla in Esplora file del computer locale. Se l'estensione del file non è .pem (.crt .cer .der), utilizzare il comando seguente per convertirlo in formato .pem:
openssl x509 -inform der -in certificate.cer -out certificate.pem
- Per i browser Firefox: fare clic sull'icona di avviso nell'URL visualizzato per aprire un menu. Selezionare Connessione non sicura > Altre informazioni. Nella finestra di dialogo, fare clic su Visualizza certificato. Fare clic sul certificato mancante per scaricarlo nel file system del computer locale.
- Per i browser Chrome: fare clic sull'avviso Non sicuro nell'URL visualizzato per aprire un menu. Selezionare Certificato (non valido). Trascinare il certificato mancante in Esplora file o nel Finder del proprio computer locale per salvarlo. Scegliere il firmatario del certificato (CA), se disponibile. Fare clic sull'icona del certificato e trascinarla in Esplora file del computer locale. Se l'estensione del file non è .pem (.crt .cer .der), utilizzare il comando seguente per convertirlo in formato .pem:
- Se non ancora fatto, accedere tramite SSH al server RaaS.
- Accodare il file del certificato alla fine del file in questa directory:
/etc/pki/tls/certs/ca-bundle.crt
. È possibile aggiungere il certificato alla fine del file utilizzando il comando seguente, sostituendo il file di esempio con il nome file effettivo:cat <certificate-file>.crt >> /etc/pki/tls/certs/ca-bundle.crt
Nota:È inoltre possibile copiare i file con estensione
.pem
utilizzando questo comando. - Passare alla directory
/usr/lib/systemd/system
e aprire il fileraas.service
nell'editor. Aggiungere la seguente riga a questo file in qualsiasi punto sopra la riga ExecStart:Environment=REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt
- Ricaricare il daemon e riavviare RaaS utilizzando questi comandi:
systemctl daemon-reload systemctl stop raas rm /var/log/raas/raas systemctl start raas tail -f /var/log/raas/raas
Nota:Utilizzare
tail -f /var/log/raas/raas
per visualizzare il file di registro RaaS in modo continuativo, operazione che può essere utile per la risoluzione dei problemi. - Verificare che questa soluzione abbia risolto il problema accedendo all'interfaccia Web di SaltStack Config. Se il problema è stato risolto, SaltStack Config mostra la pagina Dashboard.
Disabilitazione della convalida del certificato
Per disabilitare la convalida del certificato in SaltStack Config:
- Aprire il file di configurazione di RaaS nel nodo RaaS archiviato in
/etc/raas/raas
. - Nell'impostazione
vra
, impostare il valore divalidate_ssl
sufalse
. - Eseguire
systemctl restart raas
per riavviare il servizio RaaS. - Verificare che questa soluzione abbia risolto il problema accedendo all'interfaccia Web di SaltStack Config. Se il problema è stato risolto, SaltStack Config mostra la pagina Dashboard.
Passaggi successivi
Dopo aver configurato i certificati SSL, potrebbe essere necessario completare ulteriori passaggi successivi all'installazione.
Se si è clienti di SaltStack SecOps, il passaggio successivo consiste nel configurare questi servizi. Per ulteriori informazioni, vedere Configurazione di SaltStack SecOps.
Se sono stati completati tutti i passaggi successivi all'installazione necessari, il passaggio successivo consiste nell'integrare SaltStack Config con vRealize Automation SaltStack SecOps. Per ulteriori informazioni, vedere Creazione di un'integrazione di SaltStack Config con vRealize Automation.