설치 후 프로세스의 일부로 SSL(Secure Sockets Layer) 인증서를 설정할 수 있습니다. SSL 인증서 설정은 SaltStack Config를 설치하는 경우 선택 사항이지만 설정하는 것이 좋습니다.
시작하기 전에
SSL 인증서 설정은 특정 순서로 수행해야 하는 일련의 여러 단계 중 하나인 설치 후 단계입니다. 먼저 설치 시나리오 중 하나를 완료한 후 다음과 같은 설치 후 페이지를 읽어보십시오.
SSL 인증서 설정 및 구성
SSL 인증서를 생성하려면:
- 설치 후 SSL을 구성하기 위해
python36-pyOpenSSL
패키지가 필요합니다. 이 단계는 일반적으로 설치 전에 완료됩니다. 설치 전에 설치하지 못한 경우 지금 설치할 수 있습니다. 종속성 확인 및 설치에 대한 지침은 필수 SaltStack Config 종속성 항목을 참조하십시오. - RaaS 서비스에 대한 인증서 폴더를 생성하고 권한을 설정합니다.
sudo mkdir -p /etc/raas/pki sudo chown raas:raas /etc/raas/pki sudo chmod 750 /etc/raas/pki
- Salt를 사용하여 RaaS 서비스용 키를 생성하거나 직접 제공합니다.
sudo salt-call --local tls.create_self_signed_cert tls_dir=raas sudo chown raas:raas /etc/pki/raas/certs/localhost.crt sudo chown raas:raas /etc/pki/raas/certs/localhost.key sudo chmod 400 /etc/pki/raas/certs/localhost.crt sudo chmod 400 /etc/pki/raas/certs/localhost.key
- SaltStack Config 사용자 인터페이스에 대한 SSL 연결을 사용하도록 설정하려면 PEM 인코딩 SSL 인증서를 생성하거나 기존 PEM 인코딩 인증서에 대한 액세스 권한이 있는지 확인합니다.
- 이전 단계에서 생성한
.crt
및.key
파일을 RaaS 노드의/etc/pki/raas/certs
에 저장합니다. - 텍스트 편집기에서
/etc/raas/raas
를 열어서 RaaS 서비스 구성을 업데이트합니다.<filename>
을 SSL 인증서 파일 이름으로 대체하여 다음 값을 구성합니다.tls_crt:/etc/pki/raas/certs/<filename>.crt tls_key:/etc/pki/raas/certs/<filename>.key port:443
- RaaS 서비스를 다시 시작합니다.
sudo systemctl restart raas
- RaaS 서비스가 실행 중인지 확인합니다.
sudo systemctl status raas
- 조직의 사용자 지정 SaltStack Config URL로 이동한 후 자격 증명을 입력하여 웹 브라우저에서 사용자 인터페이스에 연결할 수 있는지 확인합니다. 로그인에 대한 자세한 내용은 처음으로 로그인하고 기본 자격 증명 변경을 참조하십시오.
이제 SaltStack Config에 대한 SSL 인증서가 설정되었습니다.
SSL 인증서 업데이트
SaltStack Config에 대한 SSL 인증서 업데이트 지침은 VMware 기술 자료에 제공됩니다. 자세한 내용은 SaltStack Config용 SSL 인증서를 업데이트하는 방법을 참조하십시오.
자체 서명된 인증서를 사용하는 vRealize Automation으로 SaltStack Config 환경 문제 해결
이 정보는 비표준 CA(인증 기관)에서 서명한 인증서를 사용하는 vRealize Automation 배포로 작업하는 고객을 위한 것입니다.
SaltStack Config에 다음과 같은 증상이 나타날 수 있습니다.
- vRealize Automation을 처음 열면 웹 브라우저의 URL 옆 또는 표시 페이지에 인증서의 유효성을 검사할 수 없다는 보안 경고가 표시됩니다.
- 웹 브라우저에서 SaltStack Config 사용자 인터페이스를 열려고 하면 403 오류 또는 빈 화면이 나타날 수 있습니다.
이러한 증상은 vRealize Automation 배포가 비표준 CA(인증 기관)에서 서명한 인증서를 사용하는 경우에 발생할 수 있습니다. 이로 인해 SaltStack Config가 빈 화면을 표시하는지 확인하려면 SSH를 통해 SaltStack Config를 호스팅하는 노드에 연결하고 RaaS 로그 파일(/var/log/raas/raas
)을 검토합니다. 자체 서명된 인증서가 허용되지 않음을 나타내는 역추적 오류 메시지가 보이는 경우, 다음 두 가지 옵션으로 문제 해결을 시도할 수 있습니다.
보안 모범 사례로, 운영 환경에서 자체 서명된 인증서 또는 잘못 서명된 인증서를 사용하여 vRealize Automation 또는 SaltStack Config을 인증하도록 설정해서는 안 됩니다. 그 대신, 신뢰할 수 있는 CA(인증 기관)에서 발급한 인증서를 사용하는 것이 좋습니다.
자체 서명된 인증서 또는 잘못 서명된 인증서를 사용하기로 선택하는 경우 시스템이 심각한 보안 침해 위험에 노출될 수 있습니다. 이 절차를 사용할 때는 주의하여 진행하십시오.
이런 문제가 발생하고 비표준 인증 기관에서 서명한 인증서를 환경에서 계속 사용해야 하는 경우에는 두 가지 옵션을 사용할 수 있습니다.
첫 번째 옵션은 vRealize Automation 루트 CA(인증 기관)를 SaltStack Config 환경에 추가하는 것입니다. 두 번째 옵션은 vRealize Automation에서 SaltStack Config 인증서 검증을 사용하지 않도록 설정하는 것입니다.
SaltStack Config 환경에 vRealize Automation 루트 CA(인증 기관) 추가
이 절차를 수행하려면 다음이 필요합니다.
- 루트 액세스
- RaaS 서버에 SSH를 통해 연결 가능
추가 보안 모범 사례로, 이 수준의 액세스 권한은 조직의 가장 신뢰할 수 있는 선임급 직원에게만 부여해야 합니다. 환경에 대한 루트 액세스를 제한하도록 주의해야 합니다.
자체 서명된 인증서를 사용하기 보다는 사설 CA(인증 기관)를 생성하고 이 CA(인증 기관)에서 자체 vRealize Automation 인증서에 서명하는 것이 더 쉬울 수 있습니다. 이 방식의 장점은 필요한 모든 vRealize Automation 인증서에 대해 이 프로세스를 한 번만 진행하면 된다는 것입니다. 그렇지 않으면 생성하는 모든 vRealize Automation 인증서에 대해 이 프로세스를 거쳐야 합니다. 사설 CA(인증 기관) 생성에 대한 자세한 내용은 자체 CA(인증 기관)를 사용하여 인증서 요청에 서명하는 방법(Stack Overflow)을 참조하십시오.
비표준 CA(인증 기관)에서 서명한 인증서를 SaltStack Config의 CA(인증 기관) 목록에 추가하려면:
- 브라우저에서 vRealize Automation 웹 인터페이스를 열어 봅니다. 브라우저 창 및 URL 표시에 인증서에 대한 주의 메시지가 표시됩니다.
- 다음 스크립트를 실행하여 인증서를 가져와서 설치합니다. 여기서
<vra_fqdn>
을 사용자 vRealize Automation FQDN으로 바꿔야 합니다.echo -n | openssl s_client -connect <vra_fqdn>:443 -showcerts | tac | sed -ne '1,/-BEGIN CERTIFICATE-/p' | tac | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' | tee -a /etc/pki/tls/certs/ca-bundle.crt && sed -i.bak '/ExecStart\=/iEnvironment=REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt' /usr/lib/systemd/system/raas.service && systemctl daemon-reload && systemctl stop raas && rm /var/log/raas/raas && systemctl start raas && echo -e 'Starting RaaS Service and tailing the log to see if errors persist. \n Please Wait' && sleep 10 && echo -e 'Relaunch the web browser and navigate to the vRASSC login page and monitor this screen for further errors.\n CTRL+C to exit the tail' && tail -f /var/log/raas/raas
- SaltStack Config 웹 인터페이스에 로그인하여 이 해결 방법으로 문제가 해결되었는지 확인합니다. 문제가 해결되면 SaltStack Config에 대시보드 페이지가 표시됩니다.
인증서 검증 사용 안 함
SaltStack Config에서 인증서 검증을 사용하지 않도록 설정하려면 다음을 수행합니다.
- RaaS 노드에서 RaaS 구성 파일을 엽니다. 이 파일은
/etc/raas/raas
에 저장되어 있습니다. vra
설정에서validate_ssl
값을false
로 설정합니다.systemctl restart raas
를 실행하여 RaaS 서비스를 다시 시작합니다.- SaltStack Config 웹 인터페이스에 로그인하여 이 해결 방법으로 문제가 해결되었는지 확인합니다. 문제가 해결되면 SaltStack Config에 대시보드 페이지가 표시됩니다.
후속 작업
SSL 인증서를 설정한 후에는 설치 후 단계를 추가로 완료해야 할 수 있습니다.
SaltStack SecOps 고객인 경우 다음 단계에서 이러한 서비스를 설정합니다. 자세한 내용은 SaltStack SecOps 구성 항목을 참조하십시오.
필요한 모든 설치 후 단계를 완료한 경우 다음 단계는 SaltStack Config를 vRealize Automation SaltStack SecOps와 통합하는 것입니다. 자세한 내용은 vRealize Automation에서 SaltStack Config 통합 구성을 참조하십시오.