インストール後のプロセスの一環として、SSL (Secure Sockets Layer) 証明書を設定できます。SaltStack Config のインストール時に SSL 証明書を設定するのはオプションですが、推奨されます。
開始する前に
SSL 証明書の設定はインストール後の一連の手順の 1 つであり、特定の順序で実行する必要があります。まず、インストール シナリオのいずれかを完了してから、次のインストール後の手順に関するページを確認します。
SSL 証明書の設定と構成
SSL 証明書を作成するには、次の手順に従います。
- インストール後に SSL を構成するには、
python36-pyOpenSSL
パッケージをインストールする必要があります。通常、この手順はインストールの前に完了しています。インストール前にこれをインストールできなかった場合、ここでインストールできます。この依存関係を確認してインストールする手順については、Salt のインストールまたはアップグレードを参照してください。 - RaaS サービスの証明書フォルダの権限を作成して設定します。
sudo mkdir -p /etc/raas/pki sudo chown raas:raas /etc/raas/pki sudo chmod 750 /etc/raas/pki
- Salt を使用して RaaS サービスのキーを生成するか、独自のキーを指定します。
sudo salt-call --local tls.create_self_signed_cert tls_dir=raas sudo chown raas:raas /etc/pki/raas/certs/localhost.crt sudo chown raas:raas /etc/pki/raas/certs/localhost.key sudo chmod 400 /etc/pki/raas/certs/localhost.crt sudo chmod 400 /etc/pki/raas/certs/localhost.key
- SaltStack Config ユーザー インターフェイスへの SSL 接続を有効にするには、PEM でエンコードされた SSL 証明書を生成するか、PEM でエンコードされた既存の証明書へのアクセス権を持っている必要があります。
- 前の手順で生成した
.crt
および.key
ファイルを RaaS ノードの/etc/pki/raas/certs
に保存します。 - テキスト エディタで
/etc/raas/raas
を開いて、RaaS サービスの構成を更新します。<filename>
を SSL 証明書ファイルの名前に置き換えて、次の値を設定します。tls_crt:/etc/pki/raas/certs/<filename>.crt tls_key:/etc/pki/raas/certs/<filename>.key port:443
- RaaS サービスを再起動します。
sudo systemctl restart raas
- RaaS サービスが実行されていることを確認します。
sudo systemctl status raas
- Web ブラウザで組織のカスタム SaltStack Config URL に移動し、認証情報を入力することにより、ユーザー インターフェイスに接続できることを確認します。ログインの詳細については、初回ログインとデフォルトの認証情報の変更を参照してください。
これで、SaltStack Config の SSL 証明書が設定されました。
SSL 証明書の更新
SaltStack Config の SSL 証明書を更新する手順については、VMware ナレッジベースを参照してください。詳細については、How to update SSL certificates for SaltStack Configを参照してください。
次の手順
SSL 証明書を設定した後、インストール後の手順がさらに必要な場合があります。
SaltStack SecOps を使用している場合は、次の手順でこれらのサービスを設定します。詳細については、SaltStack SecOps の構成を参照してください。