Als onderdeel van het proces na installatie moet u mogelijk uw SSL-certificaten (Secure Sockets Layer) instellen. Het instellen van SSL-certificaten is optioneel tijdens het installeren van Automation Config, maar wordt aanbevolen.
Voordat u aan de slag gaat
Het instellen van SSL-certificaten is een stap na installatie in een reeks stappen die in een specifieke volgorde moeten worden uitgevoerd. Voltooi eerst een van de installatiescenario's en lees vervolgens de volgende pagina's over stappen na installatie:
SSL-certificaten instellen en configureren
De SSL-certificaten maken:
- Het
python36-pyOpenSSL
-pakket is nodig om SSL te configureren na installatie. Deze stap wordt gewoonlijk vóór de installatie voltooid. Als u het pakket niet heeft kunnen installeren vóór de installatie, kunt u het nu downloaden. Zie Vereiste Automation Config-afhankelijkheden voor instructies over het controleren en installeren van deze afhankelijkheid. - Maak rechten en stel rechten in voor de certificaatmap voor de RaaS-service.
sudo mkdir -p /etc/raas/pki sudo chown raas:raas /etc/raas/pki sudo chmod 750 /etc/raas/pki
- Genereer sleutels voor de RaaS-service met behulp van Salt of geef uw eigen sleutels op.
sudo salt-call --local tls.create_self_signed_cert tls_dir=raas sudo chown raas:raas /etc/pki/raas/certs/localhost.crt sudo chown raas:raas /etc/pki/raas/certs/localhost.key sudo chmod 400 /etc/pki/raas/certs/localhost.crt sudo chmod 400 /etc/pki/raas/certs/localhost.key
- Om SSL-verbindingen met de gebruikersinterface van Automation Config in te schakelen, genereert u een SSL-certificaat met PEM-codering of zorgt u ervoor dat u toegang heeft tot een bestaand PEM-gecodeerd certificaat.
- Sla de
.crt
- en.key
-bestanden die u in de vorige stap heeft gegenereerd, op in/etc/pki/raas/certs
op het RaaS-knooppunt. - Werk de configuratie van de RaaS-service bij door deze
/etc/raas/raas
in een teksteditor te openen. Configureer de volgende waarden en vervang hierbij<filename>
door de bestandsnaam van uw SSL-certificaat:tls_crt:/etc/pki/raas/certs/<filename>.crt tls_key:/etc/pki/raas/certs/<filename>.key port:443
- Herstart de RaaS-service.
sudo systemctl restart raas
- Controleer of de RaaS-service wordt uitgevoerd.
sudo systemctl status raas
- Bevestig dat u verbinding kunt maken met de gebruikersinterface in een webbrowser door te navigeren naar de aangepaste URL voor Automation Config van uw organisatie en uw verificatiegegevens in te voeren. Zie De eerste keer aanmelden en de standaardverificatiegegevens wijzigen voor meer informatie over aanmelden.
Uw SSL-certificaten voor Automation Config zijn nu ingesteld.
SSL-certificaten bijwerken
Instructies voor het bijwerken van SSL-certificaten voor Automation Config zijn beschikbaar in de VMware Knowledge Base. Zie SSL-certificaten voor Automation Config bijwerken voor meer informatie.
Problemen oplossen voor Automation Config-omgevingen met VMware Aria Automation die gebruikmaken van automatisch ondertekende certificaten
Deze informatie is voor klanten die werken met VMware Aria Automation-implementaties die een certificaat gebruiken dat is ondertekend door een niet-standaardcertificaatautoriteit.
De volgende symptomen kunnen optreden voor Automation Config:
- Wanneer u voor het eerst VMware Aria Automation opent, wordt in uw webbrowser in een beveiligingswaarschuwing naast de URL of op de weergavepagina gemeld dat het certificaat niet kan worden gevalideerd.
- Wanneer u de gebruikersinterface van Automation Config in uw webbrowser probeert te openen, wordt mogelijk de fout 403 of een leeg scherm weergegeven.
Deze symptomen kunnen worden veroorzaakt als uw VMware Aria Automation-implementatie een certificaat gebruikt dat is ondertekend door een niet-standaardcertificaatautoriteit. Om te controleren of dit ervoor zorgt dat Automation Config een leeg scherm weergeeft, meldt u zich via SSH aan bij het knooppunt dat Automation Config host en bekijkt u het RaaS-logboekbestand (/var/log/raas/raas
). Als u een traceringsfoutbericht vindt dat aangeeft dat automatisch ondertekende certificaten niet zijn toegestaan, zijn er twee mogelijkheden om het probleem op te lossen.
Als best practice voor beveiliging mag u nooit een productieomgeving instellen om automatisch ondertekende certificaten of onjuist ondertekende certificaten te gebruiken om VMware Aria Automation of Automation Config te verifiëren. U wordt aanbevolen certificaten van vertrouwde certificaatautoriteiten te gebruiken.
Als u ervoor kiest om zelfondertekende of onjuist ondertekende certificaten te gebruiken, kan uw systeem hierdoor ernstig risico lopen op een beveiligingsinbreuk. Let dus goed op wanneer u deze procedure gebruikt.
Als u dit probleem ondervindt en uw omgeving een certificaat moet blijven gebruiken dat is ondertekend door een niet-standaardcertificaatautoriteit, heeft u de keuze uit twee opties.
De eerste optie bestaat uit het toevoegen van de VMware Aria Automation-rootcertificaatautoriteit (CA) aan uw Automation Config-omgeving. De tweede optie bestaat uit het uitschakelen van VMware Aria Automation-certificaatvalidatie in Automation Config.
De vRealize Automation-rootcertificaatautoriteit (CA) toevoegen aan uw Automation Config-omgeving
Voor deze procedure is het volgende vereist:
- Roottoegang
- De mogelijkheid om via SSH aan te melden bij de RaaS-server
Als aanvullende best practice voor beveiliging mogen alleen de meest vertrouwde en ervaren personen in uw organisatie dit toegangsniveau krijgen. Zorg ervoor dat roottoegang tot uw omgeving wordt beperkt.
U vindt het wellicht eenvoudiger om een privécertificaatautoriteit te maken en uw eigen VMware Aria Automation-certificaten bij die certificaatautoriteit te ondertekenen in plaats van automatisch ondertekende certificaten te gebruiken. Het voordeel van deze methode is dat u dit proces slechts één keer hoeft te doorlopen voor elk VMware Aria Automation-certificaat dat u nodig heeft. Anders moet u dit proces doorlopen voor elk vRealize Automation-certificaat dat u maakt. Raadpleeg Een certificaataanvraag met uw eigen certificaatautoriteit (Stack Overflow) ondertekenen voor meer informatie over het maken van een privécertificaatautoriteit.
Een certificaat dat is ondertekend door een niet-standaardcertificaatautoriteit toevoegen aan de lijst met certificaatautoriteiten in Automation Config:
- Probeer om de webinterface van vRealize Automation in uw browser te openen. In het browservenster en op de URL van het certificaat wordt een waarschuwingsbericht weergegeven.
- Voer het volgende script uit waarmee het certificaat wordt opgehaald en geïnstalleerd en
<vra_fqdn>
wordt vervangen door uw VMware Aria Automation FQDN:echo -n | openssl s_client -connect <vra_fqdn>:443 -showcerts | tac | sed -ne '1,/-BEGIN CERTIFICATE-/p' | tac | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' | tee -a /etc/pki/tls/certs/ca-bundle.crt && sed -i.bak '/ExecStart\=/iEnvironment=REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt' /usr/lib/systemd/system/raas.service && systemctl daemon-reload && systemctl stop raas && rm /var/log/raas/raas && systemctl start raas && echo -e 'Starting RaaS Service and tailing the log to see if errors persist. \n Please Wait' && sleep 10 && echo -e 'Relaunch the web browser and navigate to the vRASSC login page and monitor this screen for further errors.\n CTRL+C to exit the tail' && tail -f /var/log/raas/raas
- Controleer of deze oplossing het probleem heeft opgelost door u aan te melden bij de Automation Config-webinterface. Als het probleem is opgelost, wordt in Automation Config de pagina Dashboard weergegeven.
Certificaatvalidatie uitschakelen
Certificaatvalidatie in Automation Config uitschakelen:
- Open het RaaS-configuratiebestand op het RaaS-knooppunt, dat is opgeslagen in
/etc/raas/raas
. - Stel de waarde voor
validate_ssl
in opvra
in de instellingfalse
. - Voer
systemctl restart raas
uit om de RaaS-service opnieuw te starten. - Controleer of deze oplossing het probleem heeft opgelost door u aan te melden bij de Automation Config-webinterface. Als het probleem is opgelost, wordt in Automation Config de pagina Dashboard weergegeven.
Wat moet u nu doen
Nadat u SSL-certificaten heeft geïnstalleerd, moet u mogelijk aanvullende stappen na installatie voltooien.
Als u een klant van Automation for Secure Hosts bent, bestaat de volgende stap uit het instellen van deze services. Zie Automation for Secure Hosts configureren voor meer informatie.
Als u alle nodige stappen na installatie heeft voltooid, bestaat de volgende stap uit het integreren van Automation Config met VMware Aria Automation for Secure Hosts. Zie Een Automation Config-integratie in Aria Automation configureren voor meer informatie.