В рамках задач, выполняемых после установки, может понадобиться настроить сертификаты SSL (Secure Sockets Layer). Настройка сертификатов SSL не является обязательным этапом установки SaltStack Config, однако рекомендуем ее выполнить.
Перед началом работы
Настройка сертификатов SSL является одной из операций, которые необходимо выполнить в определенном порядке по завершении установки. Выполните один из сценариев установки, а затем ознакомьтесь со следующими процедурами, выполняемыми после установки.
Установка и настройка сертификатов SSL
Для создания сертификатов SSL выполните следующие действия.
- Для настройки SSL после установки требуется пакет
python36-pyOpenSSL
. Этот шаг обычно выполняется перед установкой. Если не удалось установить этот пакет раньше, его можно установить сейчас. Процедуру проверки и установки этой зависимости см. в разделе Установка или обновление Salt. - Создайте и задайте разрешения для папки сертификатов для службы RaaS.
sudo mkdir -p /etc/raas/pki sudo chown raas:raas /etc/raas/pki sudo chmod 750 /etc/raas/pki
- Сгенерируйте ключи для службы RaaS, используя Salt, или предоставьте собственный ключ.
sudo salt-call --local tls.create_self_signed_cert tls_dir=raas sudo chown raas:raas /etc/pki/raas/certs/localhost.crt sudo chown raas:raas /etc/pki/raas/certs/localhost.key sudo chmod 400 /etc/pki/raas/certs/localhost.crt sudo chmod 400 /etc/pki/raas/certs/localhost.key
- Чтобы включить SSL-соединения с пользовательским интерфейсом SaltStack Config, сгенерируйте сертификат SSL в формате PEM или убедитесь, что у вас есть доступ к существующему сертификату в формате PEM.
- Сохраните файлы
.crt
и.key
, которые были сгенерированы на предыдущем шаге в/etc/pki/raas/certs
на узле RaaS. - Чтобы обновить конфигурацию службы RaaS, откройте
/etc/raas/raas
в текстовом редакторе. Настройте следующие значения, заменив<filename>
на имя файла сертификата SSL.tls_crt:/etc/pki/raas/certs/<filename>.crt tls_key:/etc/pki/raas/certs/<filename>.key port:443
- Перезапустите службу RaaS.
sudo systemctl restart raas
- Убедитесь, что служба RaaS работает.
sudo systemctl status raas
- Проверьте подключение к пользовательскому интерфейсу в веб-браузере. Для этого перейдите по пользовательскому URL-адресу SaltStack Config вашей организации и введите учетные данные. Дополнительные сведения о входе в систему см. в разделе Первый вход в систему и изменение учетных данных по умолчанию.
Сертификаты SSL для SaltStack Config настроены.
Обновление сертификатов SSL
Инструкции по обновлению сертификатов SSL для SaltStack Config доступны в базе знаний VMware. Дополнительные сведения см. в разделе Обновление сертификатов SSL для SaltStack Config.
Устранение неполадок в средах SaltStack Config с vRealize Automation, в которых используются самозаверяющие сертификаты
Этот обходной путь предназначен для клиентов, работающих с развертываниями vRealize Automation, в которых используется сертификат, подписанный нестандартным центром сертификации.
В SaltStack Config могут возникать следующие симптомы.
- При первом открытии vRealize Automation в браузере рядом с URL-адресом или на странице отображения появляется предупреждение системы безопасности о том, что сертификат нельзя проверить.
- При попытке открыть пользовательский интерфейс SaltStack Config в браузере может отображаться ошибка 403 или пустой экран.
Эти симптомы могут быть связаны с тем, что в развертывании vRealize Automation используется сертификат, подписанный нестандартным центром сертификации. Чтобы проверить, является ли это причиной отображения пустого экрана в SaltStack Config, с помощью протокола SSH выполните вход на узел, на котором размещается SaltStack Config, и просмотрите файл журнала RaaS (/var/log/raas/raas
). При наличии сообщения об ошибке обратной трассировки, которое указывает на то, что самозаверяющие сертификаты запрещены, для решения проблемы можно попробовать использовать следующий обходной путь.
В целях безопасности не следует настраивать в производственной среде использование самозаверяющих или неправильно подписанных сертификатов для проверки подлинности vRealize Automation или SaltStack Config. Рекомендуется использовать сертификаты из доверенных центров сертификации.
Если вы решили использовать самозаверяющие или неправильно подписанные сертификаты, это может подвергнуть систему серьезному риску нарушения безопасности. Будьте внимательны при использовании этой процедуры.
Если эта проблема возникает и необходимо продолжить использовать в среде сертификат, подписанный нестандартным центром сертификации, добавьте центр сертификации vRealize Automation в среду SaltStack Config, как описано в следующем обходном пути.
Для использования этого обходного пути требуется:
- доступ с правами root;
- возможность подключиться с помощью протокола SSH к серверу RaaS.
В целях безопасности этот уровень доступа должен предоставляться только старшим специалистам, пользующимся наибольшим доверием в вашей организации. Тщательно отбирайте пользователей для предоставления доступа root к вашей среде.
Возможно, вместо использования самозаверяющих сертификатов будет проще создать частный центр сертификации и подписывать с помощью него свои собственные сертификаты vRealize Automation. Преимущество этого подхода заключается в том, что этот процесс требуется проходить только один раз для каждого необходимого сертификата vRealize Automation. В противном случае потребуется проходить этот процесс для каждого создаваемого сертификата vRealize Automation. Дополнительные сведения о создании частного центра сертификации см. в разделе Подписание сертификата собственным центром сертификации (Stack Overflow).
Чтобы добавить сертификат, подписанный нестандартным центром сертификации, в список центров сертификации в SaltStack Config, выполните следующие действия.
- Попробуйте открыть веб-интерфейс vRealize Automation в браузере. В окне рядом с URL-адресом должно появиться предупреждение.
- Загрузите требуемый сертификат.
- Для браузеров Chrome: щелкните предупреждение «Не защищено» в строке URL-адреса, чтобы открыть меню. Выберите «Сертификат (недействительный)». Перетащите отсутствующий сертификат в проводник или поисковик на локальном компьютере, чтобы сохранить его. Выберите подписанта сертификата (ЦС), если он доступен. Щелкните значок сертификата и перетащите его в проводник на локальном компьютере. Если расширение файла — не .pem (.crt, .cer, .der), преобразуйте файл в формат .pem с помощью следующей команды:
openssl x509 -inform der -in certificate.cer -out certificate.pem
- Для браузеров Firefox: щелкните значок предупреждения в строке URL-адреса, чтобы открыть меню. Выберите «Незащищенное соединение» > «Подробнее». В диалоговом окне щелкните «Просмотреть сертификат». Щелкните отсутствующий сертификат, чтобы загрузить его в файловую систему локального компьютера.
- Для браузеров Chrome: щелкните предупреждение «Не защищено» в строке URL-адреса, чтобы открыть меню. Выберите «Сертификат (недействительный)». Перетащите отсутствующий сертификат в проводник или поисковик на локальном компьютере, чтобы сохранить его. Выберите подписанта сертификата (ЦС), если он доступен. Щелкните значок сертификата и перетащите его в проводник на локальном компьютере. Если расширение файла — не .pem (.crt, .cer, .der), преобразуйте файл в формат .pem с помощью следующей команды:
- Если это еще не сделано, выполните вход на сервер RaaS с помощью протокола SSH.
- Добавьте файл сертификата в конец файла в следующем каталоге:
/etc/pki/tls/certs/ca-bundle.crt
. Сертификат можно добавить в конец файла с помощью следующей команды, заменив имя файла-примера соответствующим именем файла:cat <certificate-file>.crt >> /etc/pki/tls/certs/ca-bundle.crt
Примечание:С помощью этой команды можно также скопировать файлы с расширением
.pem
. - Перейдите в каталог
/usr/lib/systemd/system
и откройте файлraas.service
в редакторе. Добавьте следующую строку в этот файл в любом месте выше строки ExecStart:Environment=REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt
- Перезагрузите управляющую программу и перезапустите RaaS с помощью следующих команд:
systemctl daemon-reload systemctl stop raas rm /var/log/raas/raas systemctl start raas tail -f /var/log/raas/raas
Примечание:Используйте
tail -f /var/log/raas/raas
для постоянного отображения файла журнала RaaS. Это может помочь при устранении неполадок. - Выполните вход в веб-интерфейс SaltStack Config, чтобы убедиться в том, что проблема устранена. В таком случае в SaltStack Config будет отображаться страница «Панель управления».
Следующие шаги
После настройки сертификатов SSL может понадобиться выполнить дополнительные действия после установки.
Если вы используете SaltStack SecOps, далее нужно будет настроить эти службы. Дополнительные сведения см. в разделе Настройка SaltStack SecOps.
Если вы завершили все необходимые шаги, выполняемые после установки, далее необходимо создать интеграцию между SaltStack Config и vRealize Automation SaltStack SecOps. Дополнительные сведения см. в разделе Создание интеграции между SaltStack Config и vRealize Automation.