Als onderdeel van het proces na installatie moet u mogelijk uw SSL-certificaten (Secure Sockets Layer) instellen. Het instellen van SSL-certificaten is optioneel tijdens het installeren van SaltStack Config, maar wordt aanbevolen.
Voordat u aan de slag gaat
Het instellen van SSL-certificaten is een stap na installatie in een reeks stappen die in een specifieke volgorde moeten worden uitgevoerd. Voltooi eerst een van de installatiescenario's en lees vervolgens de volgende pagina's over stappen na installatie:
SSL-certificaten instellen en configureren
De SSL-certificaten maken:
- Het
python36-pyOpenSSL-pakket is nodig om SSL te configureren na installatie. Deze stap wordt gewoonlijk vóór de installatie voltooid. Als u het pakket niet heeft kunnen installeren vóór de installatie, kunt u het nu downloaden. Zie Salt installeren of upgraden voor instructies over het controleren en installeren van deze afhankelijkheid. - Maak rechten en stel rechten in voor de certificaatmap voor de RaaS-service.
sudo mkdir -p /etc/raas/pki sudo chown raas:raas /etc/raas/pki sudo chmod 750 /etc/raas/pki
- Genereer sleutels voor de RaaS-service met behulp van Salt of geef uw eigen sleutels op.
sudo salt-call --local tls.create_self_signed_cert tls_dir=raas sudo chown raas:raas /etc/pki/raas/certs/localhost.crt sudo chown raas:raas /etc/pki/raas/certs/localhost.key sudo chmod 400 /etc/pki/raas/certs/localhost.crt sudo chmod 400 /etc/pki/raas/certs/localhost.key
- Om SSL-verbindingen met de gebruikersinterface van SaltStack Config in te schakelen, genereert u een SSL-certificaat met PEM-codering of zorgt u ervoor dat u toegang heeft tot een bestaand PEM-gecodeerd certificaat.
- Sla de
.crt- en.key-bestanden die u in de vorige stap heeft gegenereerd, op in/etc/pki/raas/certsop het RaaS-knooppunt. - Werk de configuratie van de RaaS-service bij door deze
/etc/raas/raasin een teksteditor te openen. Configureer de volgende waarden en vervang hierbij<filename>door de bestandsnaam van uw SSL-certificaat:tls_crt:/etc/pki/raas/certs/<filename>.crt tls_key:/etc/pki/raas/certs/<filename>.key port:443
- Herstart de RaaS-service.
sudo systemctl restart raas
- Controleer of de RaaS-service wordt uitgevoerd.
sudo systemctl status raas
- Bevestig dat u verbinding kunt maken met de gebruikersinterface in een webbrowser door te navigeren naar de aangepaste URL voor SaltStack Config van uw organisatie en uw verificatiegegevens in te voeren. Zie De eerste keer aanmelden en de standaardverificatiegegevens wijzigen voor meer informatie over aanmelden.
Uw SSL-certificaten voor SaltStack Config zijn nu ingesteld.
SSL-certificaten bijwerken
Instructies voor het bijwerken van SSL-certificaten voor SaltStack Config zijn beschikbaar in de VMware Knowledge Base. Zie SSL-certificaten voor SaltStack Config bijwerken voor meer informatie.
Problemen oplossen voor SaltStack Config-omgevingen met vRealize Automation die gebruikmaken van automatisch ondertekende certificaten
Deze noodoplossing is voor klanten die werken met vRealize Automation-implementaties die een certificaat gebruiken dat is ondertekend door een niet-standaardcertificaatautoriteit.
De volgende symptomen kunnen optreden voor SaltStack Config:
- Wanneer u voor het eerst vRealize Automation opent, wordt in uw webbrowser in een beveiligingswaarschuwing naast de URL of op de weergavepagina gemeld dat het certificaat niet kan worden gevalideerd.
- Wanneer u de gebruikersinterface van SaltStack Config in uw webbrowser probeert te openen, wordt mogelijk de fout 403 of een leeg scherm weergegeven.
Deze symptomen kunnen worden veroorzaakt als uw vRealize Automation-implementatie een certificaat gebruikt dat is ondertekend door een niet-standaardcertificaatautoriteit. Om te controleren of dit ervoor zorgt dat SaltStack Config een leeg scherm weergeeft, meldt u zich via SSH aan bij het knooppunt dat SaltStack Config host en bekijkt u het RaaS-logboekbestand (/var/log/raas/raas). Als u een traceringsfoutbericht vindt dat aangeeft dat automatisch ondertekende certificaten niet zijn toegestaan, kan de volgende noodoplossing dit probleem mogelijk oplossen.
Als best practice voor beveiliging mag u nooit een productieomgeving instellen om automatisch ondertekende certificaten of onjuist ondertekende certificaten te gebruiken om vRealize Automation of SaltStack Config te verifiëren. U wordt aanbevolen certificaten van vertrouwde certificaatautoriteiten te gebruiken.
Als u ervoor kiest om zelfondertekende of onjuist ondertekende certificaten te gebruiken, kan uw systeem hierdoor ernstig risico lopen op een beveiligingsinbreuk. Let dus goed op wanneer u deze procedure gebruikt.
Als u dit probleem ondervindt en uw omgeving een certificaat moet blijven gebruiken dat is ondertekend door een niet-standaardcertificaatautoriteit, kunt u dit oplossen door de CA van het vRealize Automation-certificaat toe te voegen aan uw SaltStack Config-omgeving. Dit wordt uitgelegd in de volgende noodoplossing.
Voor deze noodoplossing is het volgende vereist:
- Roottoegang
- De mogelijkheid om via SSH aan te melden bij de RaaS-server
Als aanvullende best practices voor beveiliging mogen alleen de meest vertrouwde en ervaren personen in uw organisatie dit toegangsniveau krijgen. Zorg ervoor dat roottoegang tot uw omgeving wordt beperkt.
U vindt het wellicht eenvoudiger om een privécertificaatautoriteit te maken en uw eigen vRealize Automation-certificaten bij die certificaatautoriteit te ondertekenen in plaats van automatisch ondertekende certificaten te gebruiken. Het voordeel van deze methode is dat u dit proces slechts één keer hoeft te doorlopen voor elk vRealize Automation-certificaat dat u nodig heeft. Anders moet u dit proces doorlopen voor elk vRealize Automation-certificaat dat u maakt. Raadpleeg Een certificaataanvraag met uw eigen certificaatautoriteit (Stack Overflow) ondertekenen voor meer informatie over het maken van een privécertificaatautoriteit.
Een certificaat dat is ondertekend door een niet-standaardcertificaatautoriteit toevoegen aan de lijst met certificaatautoriteiten in SaltStack Config:
- Probeer om de webinterface van vRealize Automation in uw browser te openen. In het browservenster en op de URL van het certificaat wordt een waarschuwingsbericht weergegeven.
- Download het vereiste certificaat.
- Voor Chrome-browsers: Klik op de waarschuwing Niet beveiligd in de URL-weergave om een menu te openen. Selecteer Certificaat (ongeldig). Sleep het ontbrekende certificaat naar de bestandsverkenner of zoeker van uw lokale computer om het op te slaan. Kies de certificaatondertekenaar (CA) als deze beschikbaar is. Klik op het certificaatpictogram en sleep het vervolgens naar de bestandsverkenner van uw lokale computer. Als de bestandsextensie niet .pem (.crt .cer .der) is, gebruikt u het volgende commando om het te converteren naar de .pem-indeling:
openssl x509 -inform der -in certificate.cer -out certificate.pem - Voor Firefox-browsers: Klik op het waarschuwingspictogram in de URL-weergave om een menu te openen. Selecteer Verbinding niet beveiligd > Meer informatie. Klik in het dialoogvenster op Certificaat bekijken. Klik op het ontbrekende certificaat om het te downloaden naar het bestandssysteem van uw lokale computer.
- Voor Chrome-browsers: Klik op de waarschuwing Niet beveiligd in de URL-weergave om een menu te openen. Selecteer Certificaat (ongeldig). Sleep het ontbrekende certificaat naar de bestandsverkenner of zoeker van uw lokale computer om het op te slaan. Kies de certificaatondertekenaar (CA) als deze beschikbaar is. Klik op het certificaatpictogram en sleep het vervolgens naar de bestandsverkenner van uw lokale computer. Als de bestandsextensie niet .pem (.crt .cer .der) is, gebruikt u het volgende commando om het te converteren naar de .pem-indeling:
- Als u nog niet bent aangemeld, meldt u zich via SSH aan bij de RaaS-server.
- Voeg het certificaatbestand toe aan het eind van het bestand in deze directory:
/etc/pki/tls/certs/ca-bundle.crt. U kunt het certificaat met het volgende commando toevoegen aan het eind van het bestand. Vervang het voorbeeldbestand hierbij door de werkelijke bestandsnaam:cat <certificate-file>.crt >> /etc/pki/tls/certs/ca-bundle.crt
Opmerking:Met dit commando kunt u ook bestanden met de
.pem-extensie kopiëren. - Ga naar de directory
/usr/lib/systemd/systemen open het bestandraas.servicein uw editor. Voeg de volgende regel aan dit bestand toe boven de ExecStart-regel:Environment=REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt
- Laad de daemon opnieuw en herstart RaaS met behulp van de volgende commando's:
systemctl daemon-reload systemctl stop raas rm /var/log/raas/raas systemctl start raas tail -f /var/log/raas/raas
Opmerking:Gebruik
tail -f /var/log/raas/raasom het RaaS-logboekbestand weer te geven in de continue weergave, wat kan helpen bij het oplossen van problemen. - Controleer of deze oplossing het probleem heeft opgelost door u aan te melden bij de SaltStack Config-webinterface. Als het probleem is opgelost, wordt in SaltStack Config de pagina Dashboard weergegeven.
Wat moet u nu doen
Nadat u SSL-certificaten heeft geïnstalleerd, moet u mogelijk aanvullende stappen na installatie voltooien.
Als u een klant van SaltStack SecOps bent, bestaat de volgende stap uit het instellen van deze services. Zie SaltStack SecOps configureren voor meer informatie.
Als u alle nodige stappen na installatie heeft voltooid, bestaat de volgende stap uit het integreren van SaltStack Config met vRealize Automation SaltStack SecOps. Zie Een SaltStack Config-integratie met vRealize Automation maken voor meer informatie.
