Als onderdeel van het proces na installatie moet u mogelijk uw SSL-certificaten (Secure Sockets Layer) instellen. Het instellen van SSL-certificaten is optioneel tijdens het installeren van SaltStack Config, maar wordt aanbevolen.

Voordat u aan de slag gaat

Het instellen van SSL-certificaten is een stap na installatie in een reeks stappen die in een specifieke volgorde moeten worden uitgevoerd. Voltooi eerst een van de installatiescenario's en lees vervolgens de volgende pagina's over stappen na installatie:

SSL-certificaten instellen en configureren

De SSL-certificaten maken:

  1. Het python36-pyOpenSSL-pakket is nodig om SSL te configureren na installatie. Deze stap wordt gewoonlijk vóór de installatie voltooid. Als u het pakket niet heeft kunnen installeren vóór de installatie, kunt u het nu downloaden. Zie Vereiste SaltStack Config-afhankelijkheden voor instructies over het controleren en installeren van deze afhankelijkheid.
  2. Maak rechten en stel rechten in voor de certificaatmap voor de RaaS-service.
    sudo mkdir -p /etc/raas/pki
sudo chown raas:raas /etc/raas/pki
sudo chmod 750 /etc/raas/pki
  3. Genereer sleutels voor de RaaS-service met behulp van Salt of geef uw eigen sleutels op.
    sudo salt-call --local tls.create_self_signed_cert tls_dir=raas
sudo chown raas:raas /etc/pki/raas/certs/localhost.crt
sudo chown raas:raas /etc/pki/raas/certs/localhost.key
sudo chmod 400 /etc/pki/raas/certs/localhost.crt
sudo chmod 400 /etc/pki/raas/certs/localhost.key
  4. Om SSL-verbindingen met de gebruikersinterface van SaltStack Config in te schakelen, genereert u een SSL-certificaat met PEM-codering of zorgt u ervoor dat u toegang heeft tot een bestaand PEM-gecodeerd certificaat.
  5. Sla de .crt- en .key-bestanden die u in de vorige stap heeft gegenereerd, op in /etc/pki/raas/certs op het RaaS-knooppunt.
  6. Werk de configuratie van de RaaS-service bij door deze /etc/raas/raas in een teksteditor te openen. Configureer de volgende waarden en vervang hierbij <filename> door de bestandsnaam van uw SSL-certificaat:
    tls_crt:/etc/pki/raas/certs/<filename>.crt
tls_key:/etc/pki/raas/certs/<filename>.key
port:443
  7. Herstart de RaaS-service.
    sudo systemctl restart raas
  8. Controleer of de RaaS-service wordt uitgevoerd.
    sudo systemctl status raas
  9. Bevestig dat u verbinding kunt maken met de gebruikersinterface in een webbrowser door te navigeren naar de aangepaste URL voor SaltStack Config van uw organisatie en uw verificatiegegevens in te voeren. Zie De eerste keer aanmelden en de standaardverificatiegegevens wijzigen voor meer informatie over aanmelden.

Uw SSL-certificaten voor SaltStack Config zijn nu ingesteld.

SSL-certificaten bijwerken

Instructies voor het bijwerken van SSL-certificaten voor SaltStack Config zijn beschikbaar in de VMware Knowledge Base. Zie SSL-certificaten voor SaltStack Config bijwerken voor meer informatie.

Problemen oplossen voor SaltStack Config-omgevingen met vRealize Automation die gebruikmaken van automatisch ondertekende certificaten

Deze informatie is voor klanten die werken met vRealize Automation-implementaties die een certificaat gebruiken dat is ondertekend door een niet-standaardcertificaatautoriteit.

De volgende symptomen kunnen optreden voor SaltStack Config:

  • Wanneer u voor het eerst vRealize Automation opent, wordt in uw webbrowser in een beveiligingswaarschuwing naast de URL of op de weergavepagina gemeld dat het certificaat niet kan worden gevalideerd.
  • Wanneer u de gebruikersinterface van SaltStack Config in uw webbrowser probeert te openen, wordt mogelijk de fout 403 of een leeg scherm weergegeven.

Deze symptomen kunnen worden veroorzaakt als uw vRealize Automation-implementatie een certificaat gebruikt dat is ondertekend door een niet-standaardcertificaatautoriteit. Om te controleren of dit ervoor zorgt dat SaltStack Config een leeg scherm weergeeft, meldt u zich via SSH aan bij het knooppunt dat SaltStack Config host en bekijkt u het RaaS-logboekbestand (/var/log/raas/raas). Als u een traceringsfoutbericht vindt dat aangeeft dat automatisch ondertekende certificaten niet zijn toegestaan, zijn er twee mogelijkheden om het probleem op te lossen.

Opmerking:

Als best practice voor beveiliging mag u nooit een productieomgeving instellen om automatisch ondertekende certificaten of onjuist ondertekende certificaten te gebruiken om vRealize Automation of SaltStack Config te verifiëren. U wordt aanbevolen certificaten van vertrouwde certificaatautoriteiten te gebruiken.

Als u ervoor kiest om zelfondertekende of onjuist ondertekende certificaten te gebruiken, kan uw systeem hierdoor ernstig risico lopen op een beveiligingsinbreuk. Let dus goed op wanneer u deze procedure gebruikt.

Als u dit probleem ondervindt en uw omgeving een certificaat moet blijven gebruiken dat is ondertekend door een niet-standaardcertificaatautoriteit, heeft u de keuze uit twee opties.

De eerste optie bestaat uit het toevoegen van de vRealize Automation-rootcertificaatautoriteit (CA) aan uw SaltStack Config-omgeving. De tweede optie bestaat uit het uitschakelen van vRealize Automation-certificaatvalidatie in SaltStack Config.

De vRealize Automation-basiscertificaatautoriteit (CA) toevoegen aan uw SaltStack Config-omgeving

Voor deze procedure is het volgende vereist:

  • Roottoegang
  • De mogelijkheid om via SSH aan te melden bij de RaaS-server
Opmerking:

Als aanvullende best practice voor beveiliging mogen alleen de meest vertrouwde en ervaren personen in uw organisatie dit toegangsniveau krijgen. Zorg ervoor dat roottoegang tot uw omgeving wordt beperkt.

U vindt het wellicht eenvoudiger om een privécertificaatautoriteit te maken en uw eigen vRealize Automation-certificaten bij die certificaatautoriteit te ondertekenen in plaats van automatisch ondertekende certificaten te gebruiken. Het voordeel van deze methode is dat u dit proces slechts één keer hoeft te doorlopen voor elk vRealize Automation-certificaat dat u nodig heeft. Anders moet u dit proces doorlopen voor elk vRealize Automation-certificaat dat u maakt. Raadpleeg Een certificaataanvraag met uw eigen certificaatautoriteit (Stack Overflow) ondertekenen voor meer informatie over het maken van een privécertificaatautoriteit.

Een certificaat dat is ondertekend door een niet-standaardcertificaatautoriteit toevoegen aan de lijst met certificaatautoriteiten in SaltStack Config:

  1. Probeer om de webinterface van vRealize Automation in uw browser te openen. In het browservenster en op de URL van het certificaat wordt een waarschuwingsbericht weergegeven.
  2. Voer het volgende script uit waarmee het certificaat wordt opgehaald en geïnstalleerd en <vra_fqdn> wordt vervangen door uw vRealize Automation FQDN:
    echo -n | openssl s_client -connect <vra_fqdn>:443 -showcerts | tac | sed -ne '1,/-BEGIN CERTIFICATE-/p' | tac | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' | tee -a /etc/pki/tls/certs/ca-bundle.crt && sed -i.bak '/ExecStart\=/iEnvironment=REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt' /usr/lib/systemd/system/raas.service && systemctl daemon-reload && systemctl stop raas && rm /var/log/raas/raas && systemctl start raas && echo -e 'Starting RaaS Service and tailing the log to see if errors persist. \n Please Wait' && sleep 10 && echo -e 'Relaunch the web browser and navigate to the vRASSC login page and monitor this screen for further errors.\n CTRL+C to exit the tail' && tail -f /var/log/raas/raas
  3. Controleer of deze oplossing het probleem heeft opgelost door u aan te melden bij de SaltStack Config-webinterface. Als het probleem is opgelost, wordt in SaltStack Config de pagina Dashboard weergegeven.

Certificaatvalidatie uitschakelen

Certificaatvalidatie in SaltStack Config uitschakelen:

Voorzichtig: Het uitschakelen van certificaatvalidatie is geen aanbevolen of ondersteunde optie voor productie-implementatie voor SaltStack Config. Certificaatvalidatie biedt verhoogde beveiliging en zou uw standaardprocedure moeten zijn. Omdat deze implementatieoptie niet is aanbevolen, helpt VMware niet bij het uitschakelen van certificaatvalidatie of problemen die het gevolg zijn van deze implementatieoptie. Als u ervoor kiest om deze functie uit te schakelen, doet u dit op eigen risico.
  1. Open het RaaS-configuratiebestand op het RaaS-knooppunt, dat is opgeslagen in /etc/raas/raas.
  2. Stel de waarde voor validate_ssl in op vra in de instelling false.
  3. Voer systemctl restart raas uit om de RaaS-service opnieuw te starten.
  4. Controleer of deze oplossing het probleem heeft opgelost door u aan te melden bij de SaltStack Config-webinterface. Als het probleem is opgelost, wordt in SaltStack Config de pagina Dashboard weergegeven.

Wat moet u nu doen

Nadat u SSL-certificaten heeft geïnstalleerd, moet u mogelijk aanvullende stappen na installatie voltooien.

Als u een klant van SaltStack SecOps bent, bestaat de volgende stap uit het instellen van deze services. Zie SaltStack SecOps configureren voor meer informatie.

Als u alle nodige stappen na installatie heeft voltooid, bestaat de volgende stap uit het integreren van SaltStack Config met vRealize Automation SaltStack SecOps. Zie Een SaltStack Config-integratie in vRealize Automation configureren voor meer informatie.