В рамках задач, выполняемых после установки, может понадобиться настроить сертификаты SSL (Secure Sockets Layer). Настройка сертификатов SSL не является обязательным этапом установки Automation Config, однако рекомендуем ее выполнить.
Перед началом работы
Настройка сертификатов SSL является одной из операций, которые необходимо выполнить в определенном порядке по завершении установки. Выполните один из сценариев установки, а затем ознакомьтесь со следующими процедурами, выполняемыми после установки.
Установка и настройка сертификатов SSL
Для создания сертификатов SSL выполните следующие действия.
- Для настройки SSL после установки требуется пакет
python36-pyOpenSSL
. Этот шаг обычно выполняется перед установкой. Если не удалось установить этот пакет раньше, его можно установить сейчас. Процедуру проверки и установки этой зависимости см. в разделе Обязательные зависимости Automation Config. - Создайте и задайте разрешения для папки сертификатов для службы RaaS.
sudo mkdir -p /etc/raas/pki sudo chown raas:raas /etc/raas/pki sudo chmod 750 /etc/raas/pki
- Сгенерируйте ключи для службы RaaS, используя Salt, или предоставьте собственный ключ.
sudo salt-call --local tls.create_self_signed_cert tls_dir=raas sudo chown raas:raas /etc/pki/raas/certs/localhost.crt sudo chown raas:raas /etc/pki/raas/certs/localhost.key sudo chmod 400 /etc/pki/raas/certs/localhost.crt sudo chmod 400 /etc/pki/raas/certs/localhost.key
- Чтобы включить SSL-соединения с пользовательским интерфейсом Automation Config, сгенерируйте сертификат SSL в формате PEM или убедитесь, что у вас есть доступ к существующему сертификату в формате PEM.
- Сохраните файлы
.crt
и.key
, которые были сгенерированы на предыдущем шаге в/etc/pki/raas/certs
на узле RaaS. - Чтобы обновить конфигурацию службы RaaS, откройте
/etc/raas/raas
в текстовом редакторе. Настройте следующие значения, заменив<filename>
на имя файла сертификата SSL.tls_crt:/etc/pki/raas/certs/<filename>.crt tls_key:/etc/pki/raas/certs/<filename>.key port:443
- Перезапустите службу RaaS.
sudo systemctl restart raas
- Убедитесь, что служба RaaS работает.
sudo systemctl status raas
- Проверьте подключение к пользовательскому интерфейсу в веб-браузере. Для этого перейдите по пользовательскому URL-адресу Automation Config вашей организации и введите учетные данные. Дополнительные сведения о входе в систему см. в разделе Первый вход в систему и изменение учетных данных по умолчанию.
Сертификаты SSL для Automation Config настроены.
Обновление сертификатов SSL
Инструкции по обновлению сертификатов SSL для Automation Config доступны в базе знаний VMware. Дополнительные сведения см. в разделе Обновление сертификатов SSL для Automation Config.
Устранение неполадок в средах Automation Config с VMware Aria Automation, в которых используются самозаверяющие сертификаты
Эта информация предназначена для клиентов, работающих с развертываниями VMware Aria Automation, в которых используется сертификат, подписанный нестандартным центром сертификации.
В Automation Config могут возникать следующие симптомы.
- При первом открытии VMware Aria Automation в браузере рядом с URL-адресом или на странице отображения появляется предупреждение системы безопасности о том, что сертификат нельзя проверить.
- При попытке открыть пользовательский интерфейс Automation Config в браузере может отображаться ошибка 403 или пустой экран.
Эти симптомы могут быть связаны с тем, что в развертывании VMware Aria Automation используется сертификат, подписанный нестандартным центром сертификации. Чтобы проверить, является ли это причиной отображения пустого экрана в Automation Config, с помощью протокола SSH выполните вход на узел, на котором размещается Automation Config, и просмотрите файл журнала RaaS (/var/log/raas/raas
). При наличии сообщения об ошибке обратной трассировки, которое указывает на то, что самозаверяющие сертификаты запрещены, проблему можно попробовать решить двумя способами.
В целях безопасности не следует настраивать в производственной среде использование самозаверяющих или неправильно подписанных сертификатов для проверки подлинности VMware Aria Automation или Automation Config. Рекомендуется использовать сертификаты из доверенных центров сертификации.
Если вы решили использовать самозаверяющие или неправильно подписанные сертификаты, это может подвергнуть систему серьезному риску нарушения безопасности. Будьте внимательны при использовании этой процедуры.
Если вы столкнулись с этой проблемой и вам необходимо продолжить использовать сертификат, подписанный нестандартным центром сертификации, в своей среде, вам доступно два варианта действий.
Первый вариант — добавить корневой центр сертификации VMware Aria Automation в свою среду Automation Config. Второй вариант — отключить проверку сертификатов VMware Aria Automation в Automation Config.
Добавление корневого центра сертификации vRealize Automation в среду Automation Config
Для процедуры требуется:
- доступ с правами root;
- возможность подключиться с помощью протокола SSH к серверу RaaS.
В целях безопасности этот уровень доступа должен предоставляться только старшим специалистам, пользующимся наибольшим доверием в вашей организации. Тщательно отбирайте пользователей для предоставления доступа root к вашей среде.
Возможно, вместо использования самозаверяющих сертификатов будет проще создать частный центр сертификации и подписывать с помощью него свои собственные сертификаты VMware Aria Automation. Преимущество этого подхода заключается в том, что этот процесс требуется проходить только один раз для каждого необходимого сертификата VMware Aria Automation. В противном случае потребуется проходить этот процесс для каждого создаваемого сертификата vRealize Automation. Дополнительные сведения о создании частного центра сертификации см. в разделе Подписание сертификата собственным центром сертификации (Stack Overflow).
Чтобы добавить сертификат, подписанный нестандартным центром сертификации, в список центров сертификации в Automation Config, выполните следующие действия.
- Попробуйте открыть веб-интерфейс vRealize Automation в браузере. В окне рядом с URL-адресом должно появиться предупреждение.
- Запустите следующий сценарий для получения и установки сертификата, заменив
<vra_fqdn>
на полное доменное имя VMware Aria Automation:echo -n | openssl s_client -connect <vra_fqdn>:443 -showcerts | tac | sed -ne '1,/-BEGIN CERTIFICATE-/p' | tac | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' | tee -a /etc/pki/tls/certs/ca-bundle.crt && sed -i.bak '/ExecStart\=/iEnvironment=REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt' /usr/lib/systemd/system/raas.service && systemctl daemon-reload && systemctl stop raas && rm /var/log/raas/raas && systemctl start raas && echo -e 'Starting RaaS Service and tailing the log to see if errors persist. \n Please Wait' && sleep 10 && echo -e 'Relaunch the web browser and navigate to the vRASSC login page and monitor this screen for further errors.\n CTRL+C to exit the tail' && tail -f /var/log/raas/raas
- Выполните вход в веб-интерфейс Automation Config, чтобы убедиться в том, что проблема устранена. В таком случае в Automation Config будет отображаться страница «Панель управления».
Отключение проверки сертификатов
Чтобы отключить проверку сертификатов в Automation Config, выполните следующие действия.
- Откройте на узле RaaS файл конфигурации RaaS, который хранится здесь:
/etc/raas/raas
. - В настройке
vra
задайте для параметраvalidate_ssl
значениеfalse
. - Выполните команду
systemctl restart raas
, чтобы перезапустить службу RaaS. - Выполните вход в веб-интерфейс Automation Config, чтобы убедиться в том, что проблема устранена. В таком случае в Automation Config будет отображаться страница «Панель управления».
Следующие шаги
После настройки сертификатов SSL может понадобиться выполнить дополнительные действия после установки.
Если вы используете Automation for Secure Hosts, далее нужно будет настроить эти службы. Дополнительные сведения см. в разделе Настройка Automation for Secure Hosts.
Если вы завершили все необходимые шаги, выполняемые после установки, далее необходимо создать интеграцию между Automation Config и VMware Aria Automation for Secure Hosts. Дополнительные сведения см. в разделе Настройка интеграции с Automation Config в службе Aria Automation.