開始する前に

SSL 証明書の設定はインストール後の一連の手順の 1 つであり、特定の順序で実行する必要があります。まず、インストール シナリオのいずれかを完了してから、次のインストール後の手順に関するページを確認します。

• ライセンス キーのインストール
• マスター プラグインのインストールと構成
• RaaS 構成ファイルの確認
• 初回ログインとデフォルトの認証情報の変更
• Salt マスター キーの受け入れとデータのバックアップ

SSL 証明書の設定と構成

SSL 証明書を作成するには、次の手順に従います。

1. インストール後に SSL を構成するには、python36-pyOpenSSL パッケージをインストールする必要があります。通常、この手順はインストールの前に完了しています。インストール前にこれをインストールできなかった場合、ここでインストールできます。この依存関係を確認してインストールする手順については、Salt のインストールまたはアップグレードを参照してください。
2. RaaS サービスの証明書フォルダの権限を作成して設定します。

   sudo mkdir -p /etc/raas/pki
   sudo chown raas:raas /etc/raas/pki
   sudo chmod 750 /etc/raas/pki

3. Salt を使用して RaaS サービスのキーを生成するか、独自のキーを指定します。

   sudo salt-call --local tls.create_self_signed_cert tls_dir=raas
   sudo chown raas:raas /etc/pki/raas/certs/localhost.crt
   sudo chown raas:raas /etc/pki/raas/certs/localhost.key
   sudo chmod 400 /etc/pki/raas/certs/localhost.crt
   sudo chmod 400 /etc/pki/raas/certs/localhost.key

4. SaltStack Config ユーザー インターフェイスへの SSL 接続を有効にするには、PEM でエンコードされた SSL 証明書を生成するか、PEM でエンコードされた既存の証明書へのアクセス権を持っている必要があります。
5. 前の手順で生成した .crt および .key ファイルを RaaS ノードの /etc/pki/raas/certs に保存します。
6. テキスト エディタで /etc/raas/raas を開いて、RaaS サービスの構成を更新します。<filename> を SSL 証明書ファイルの名前に置き換えて、次の値を設定します。

   tls_crt:/etc/pki/raas/certs/<filename>.crt
   tls_key:/etc/pki/raas/certs/<filename>.key
   port:443

7. RaaS サービスを再起動します。

   sudo systemctl restart raas

8. RaaS サービスが実行されていることを確認します。

   sudo systemctl status raas

9. Web ブラウザで組織のカスタム SaltStack Config URL に移動し、認証情報を入力することにより、ユーザー インターフェイスに接続できることを確認します。ログインの詳細については、初回ログインとデフォルトの認証情報の変更を参照してください。

これで、SaltStack Config の SSL 証明書が設定されました。

SSL 証明書の更新

SaltStack Config の SSL 証明書を更新する手順については、VMware ナレッジベースを参照してください。詳細については、How to update SSL certificates for SaltStack Configを参照してください。

次の手順

SSL 証明書を設定した後、インストール後の手順がさらに必要な場合があります。

SaltStack SecOps を使用している場合は、次の手順でこれらのサービスを設定します。詳細については、SaltStack SecOps の構成を参照してください。