インストール後のプロセスの一環として、SSL (Secure Sockets Layer) 証明書を設定できます。SaltStack Config のインストール時に SSL 証明書を設定するのはオプションですが、推奨されます。
開始する前に
SSL 証明書の設定はインストール後の一連の手順の 1 つであり、特定の順序で実行する必要があります。まず、インストール シナリオのいずれかを完了してから、次のインストール後の手順に関するページを確認します。
SSL 証明書の設定と構成
SSL 証明書を作成するには、次の手順に従います。
- インストール後に SSL を構成するには、
python36-pyOpenSSL
パッケージをインストールする必要があります。通常、この手順はインストールの前に完了しています。インストール前にこれをインストールできなかった場合、ここでインストールできます。この依存関係を確認してインストールする手順については、Salt のインストールまたはアップグレードを参照してください。 - RaaS サービスの証明書フォルダの権限を作成して設定します。
sudo mkdir -p /etc/raas/pki sudo chown raas:raas /etc/raas/pki sudo chmod 750 /etc/raas/pki
- Salt を使用して RaaS サービスのキーを生成するか、独自のキーを指定します。
sudo salt-call --local tls.create_self_signed_cert tls_dir=raas sudo chown raas:raas /etc/pki/raas/certs/localhost.crt sudo chown raas:raas /etc/pki/raas/certs/localhost.key sudo chmod 400 /etc/pki/raas/certs/localhost.crt sudo chmod 400 /etc/pki/raas/certs/localhost.key
- SaltStack Config ユーザー インターフェイスへの SSL 接続を有効にするには、PEM でエンコードされた SSL 証明書を生成するか、PEM でエンコードされた既存の証明書へのアクセス権を持っている必要があります。
- 前の手順で生成した
.crt
および.key
ファイルを RaaS ノードの/etc/pki/raas/certs
に保存します。 - テキスト エディタで
/etc/raas/raas
を開いて、RaaS サービスの構成を更新します。<filename>
を SSL 証明書ファイルの名前に置き換えて、次の値を設定します。tls_crt:/etc/pki/raas/certs/<filename>.crt tls_key:/etc/pki/raas/certs/<filename>.key port:443
- RaaS サービスを再起動します。
sudo systemctl restart raas
- RaaS サービスが実行されていることを確認します。
sudo systemctl status raas
- Web ブラウザで組織のカスタム SaltStack Config URL に移動し、認証情報を入力することにより、ユーザー インターフェイスに接続できることを確認します。ログインの詳細については、初回ログインとデフォルトの認証情報の変更を参照してください。
これで、SaltStack Config の SSL 証明書が設定されました。
SSL 証明書の更新
SaltStack Config の SSL 証明書を更新する手順については、VMware ナレッジベースを参照してください。詳細については、How to update SSL certificates for SaltStack Configを参照してください。
vRealize Automation を含む SaltStack Config 環境で自己署名証明書を使用している場合のトラブルシューティング
この情報は、標準以外の認証局によって署名された証明書を使用する vRealize Automation 展開で作業しているユーザーを対象にしています。
SaltStack Config で、次の症状が発生することがあります。
- vRealize Automation を初めて開いたとき、証明書を検証できないことを示すセキュリティ警告が Web ブラウザの URL の横または表示画面に表示されます。
- Web ブラウザで SaltStack Config ユーザー インターフェイスを開くと、403 エラーまたは空白の画面が表示されることがあります。
これらの症状は、vRealize Automation 展開で標準以外の認証局によって署名された証明書が使用されている場合に発生する可能性があります。それが原因で SaltStack Config に空白画面が表示されているのかどうかを確認するには、SaltStack Config をホストしているノードに SSH 接続し、RaaS ログ ファイル (/var/log/raas/raas
) を確認します。自己署名証明書が許可されていないことを示すトレースバック エラー メッセージが記録されている場合は、この問題を解決するために 2 つの方法を使用できます。
セキュリティ上のベスト プラクティスとして、自己署名証明書または適切に署名されていない証明書を使用した vRealize Automation または SaltStack Config の認証を本番環境に設定しないようにします。代わりに、信頼されている認証局からの証明書を使用することが推奨されます。
自己署名証明書、または不適切に署名された証明書を使用する場合は、システムにセキュリティ侵害の深刻なリスクが発生する可能性があります。この手順を使用する場合は注意して続行してください。
この問題が発生した後も、使用環境で標準以外の認証局によって署名された証明書を引き続き使用する必要がある場合は、2 つの方法を使用できます。
最初の方法は、SaltStack Config 環境に vRealize Automation ルート認証局 (CA) を追加することです。詳細については、SaltStack Config 環境への vRealize Automation ルート認証局 (CA) の追加を参照してください。2 つ目の方法は、SaltStack Config で vRealize Automation 証明書の検証を無効にすることです。詳細については、証明書の検証の無効化を参照してください。
SaltStack Config 環境への vRealize Automation ルート認証局 (CA) の追加
この手順を行うには、以下が必要です。
- root アクセス権限
- RaaS サーバに SSH 接続する機能
セキュリティ上のベスト プラクティスの追加として、組織内で最も信頼されている重役の個人にのみ、このレベルのアクセス権を付与する必要があります。環境への root アクセスの制限は慎重に実行する必要があります。
自己署名証明書を使用するよりも、プライベート認証局を作成して自分の vRealize Automation 証明書にその認証局で署名する方が容易な場合があります。この方法のメリットは、必要なすべての vRealize Automation 証明書に対し、このプロセスを 1 回実行するだけで済むことです。これ以外の方法では、作成するすべての vRealize Automation 証明書についてこのプロセスを実行する必要があります。プライベート認証局の作成の詳細については、How do you sign a certificate request with your own certification authority (Stack Overflow)を参照してください。
標準以外の認証局によって署名された証明書を SaltStack Config で認証局のリストに追加するには、次の手順を実行します。
- ブラウザで vRealize Automation Web インターフェイスを開きます。証明書によってブラウザ ウィンドウと URL 表示に警告メッセージが表示されます。
- 次のスクリプトを実行して証明書を取得し、インストールして、
<vra_fqdn>
を vRealize Automation FQDN に置き換えます。echo -n | openssl s_client -connect <vra_fqdn>:443 -showcerts | tac | sed -ne '1,/-BEGIN CERTIFICATE-/p' | tac | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' | tee -a /etc/pki/tls/certs/ca-bundle.crt && sed -i.bak '/ExecStart\=/iEnvironment=REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt' /usr/lib/systemd/system/raas.service && systemctl daemon-reload && systemctl stop raas && rm /var/log/raas/raas && systemctl start raas && echo -e 'Starting RaaS Service and tailing the log to see if errors persist. \n Please Wait' && sleep 10 && echo -e 'Relaunch the web browser and navigate to the vRASSC login page and monitor this screen for further errors.\n CTRL+C to exit the tail' && tail -f /var/log/raas/raas
- SaltStack Config Web インターフェイスにログインして、この回避策によって問題が解決されたことを確認します。問題が解決されている場合は、SaltStack Config の [ダッシュボード] 画面が表示されます。
証明書の検証の無効化
SaltStack Config で証明書の検証を無効にするには、次の手順を実行します。
/etc/raas/raas
に格納されている RaaS ノードの RaaS 構成ファイルを開きます。vra
設定で、validate_ssl
の値をfalse
に設定します。systemctl restart raas
を実行して、RaaS サービスを再起動します。- SaltStack Config Web インターフェイスにログインして、この回避策によって問題が解決されたことを確認します。問題が解決されている場合は、SaltStack Config の [ダッシュボード] 画面が表示されます。
次の手順
SSL 証明書を設定した後、インストール後の手順がさらに必要な場合があります。
SaltStack SecOps を使用している場合は、次の手順でこれらのサービスを設定します。詳細については、SaltStack SecOps の構成を参照してください。
インストール後に必要なすべての手順を完了したら、次の手順では SaltStack Config を vRealize Automation SaltStack SecOps と統合します。詳細については、vRealize Automation との SaltStack Config 統合の作成を参照してください。