Перед началом работы

Настройка сертификатов SSL является одной из операций, которые необходимо выполнить в определенном порядке по завершении установки. Выполните один из сценариев установки, а затем ознакомьтесь со следующими процедурами, выполняемыми после установки.

• Установка лицензионного ключа
• Установка и настройка подключаемого модуля Master
• Проверка файла конфигурации RaaS
• Первый вход в систему и изменение учетных данных по умолчанию
• Принятие ключа главного сервера Salt и резервное копирование данных

Установка и настройка сертификатов SSL

Для создания сертификатов SSL выполните следующие действия.

1. Для настройки SSL после установки требуется пакет python36-pyOpenSSL. Этот шаг обычно выполняется перед установкой. Если не удалось установить этот пакет раньше, его можно установить сейчас. Процедуру проверки и установки этой зависимости см. в разделе Установка или обновление Salt.
2. Создайте и задайте разрешения для папки сертификатов для службы RaaS.

   sudo mkdir -p /etc/raas/pki
   sudo chown raas:raas /etc/raas/pki
   sudo chmod 750 /etc/raas/pki

3. Сгенерируйте ключи для службы RaaS, используя Salt, или предоставьте собственный ключ.

   sudo salt-call --local tls.create_self_signed_cert tls_dir=raas
   sudo chown raas:raas /etc/pki/raas/certs/localhost.crt
   sudo chown raas:raas /etc/pki/raas/certs/localhost.key
   sudo chmod 400 /etc/pki/raas/certs/localhost.crt
   sudo chmod 400 /etc/pki/raas/certs/localhost.key

4. Чтобы включить SSL-соединения с пользовательским интерфейсом SaltStack Config, сгенерируйте сертификат SSL в формате PEM или убедитесь, что у вас есть доступ к существующему сертификату в формате PEM.
5. Сохраните файлы .crt и .key, которые были сгенерированы на предыдущем шаге в /etc/pki/raas/certs на узле RaaS.
6. Чтобы обновить конфигурацию службы RaaS, откройте /etc/raas/raas в текстовом редакторе. Настройте следующие значения, заменив <filename> на имя файла сертификата SSL.

   tls_crt:/etc/pki/raas/certs/<filename>.crt
   tls_key:/etc/pki/raas/certs/<filename>.key
   port:443

7. Перезапустите службу RaaS.

   sudo systemctl restart raas

8. Убедитесь, что служба RaaS работает.

   sudo systemctl status raas

9. Проверьте подключение к пользовательскому интерфейсу в веб-браузере. Для этого перейдите по пользовательскому URL-адресу SaltStack Config вашей организации и введите учетные данные. Дополнительные сведения о входе в систему см. в разделе Первый вход в систему и изменение учетных данных по умолчанию.

Сертификаты SSL для SaltStack Config настроены.

Обновление сертификатов SSL

Инструкции по обновлению сертификатов SSL для SaltStack Config доступны в базе знаний VMware. Дополнительные сведения см. в разделе Обновление сертификатов SSL для SaltStack Config.

Устранение неполадок в средах SaltStack Config с vRealize Automation, в которых используются самозаверяющие сертификаты

Этот обходной путь предназначен для клиентов, работающих с развертываниями vRealize Automation, в которых используется сертификат, подписанный нестандартным центром сертификации.

В SaltStack Config могут возникать следующие симптомы.

• При первом открытии vRealize Automation в браузере рядом с URL-адресом или на странице отображения появляется предупреждение системы безопасности о том, что сертификат нельзя проверить.
• При попытке открыть пользовательский интерфейс SaltStack Config в браузере может отображаться ошибка 403 или пустой экран.

Эти симптомы могут быть связаны с тем, что в развертывании vRealize Automation используется сертификат, подписанный нестандартным центром сертификации. Чтобы проверить, является ли это причиной отображения пустого экрана в SaltStack Config, с помощью протокола SSH выполните вход на узел, на котором размещается SaltStack Config, и просмотрите файл журнала RaaS (/var/log/raas/raas). При наличии сообщения об ошибке обратной трассировки, которое указывает на то, что самозаверяющие сертификаты запрещены, для решения проблемы можно попробовать использовать следующий обходной путь.

Если эта проблема возникает и необходимо продолжить использовать в среде сертификат, подписанный нестандартным центром сертификации, добавьте центр сертификации vRealize Automation в среду SaltStack Config, как описано в следующем обходном пути.

Для использования этого обходного пути требуется:

• доступ с правами root;
• возможность подключиться с помощью протокола SSH к серверу RaaS.

Возможно, вместо использования самозаверяющих сертификатов будет проще создать частный центр сертификации и подписывать с помощью него свои собственные сертификаты vRealize Automation. Преимущество этого подхода заключается в том, что этот процесс требуется проходить только один раз для каждого необходимого сертификата vRealize Automation. В противном случае потребуется проходить этот процесс для каждого создаваемого сертификата vRealize Automation. Дополнительные сведения о создании частного центра сертификации см. в разделе Подписание сертификата собственным центром сертификации (Stack Overflow).

Чтобы добавить сертификат, подписанный нестандартным центром сертификации, в список центров сертификации в SaltStack Config, выполните следующие действия.

1. Попробуйте открыть веб-интерфейс vRealize Automation в браузере. В окне рядом с URL-адресом должно появиться предупреждение.
2. Загрузите требуемый сертификат.
   • Для браузеров Chrome: щелкните предупреждение «Не защищено» в строке URL-адреса, чтобы открыть меню. Выберите «Сертификат (недействительный)». Перетащите отсутствующий сертификат в проводник или поисковик на локальном компьютере, чтобы сохранить его. Выберите подписанта сертификата (ЦС), если он доступен. Щелкните значок сертификата и перетащите его в проводник на локальном компьютере. Если расширение файла — не .pem (.crt, .cer, .der), преобразуйте файл в формат .pem с помощью следующей команды: openssl x509 -inform der -in certificate.cer -out certificate.pem
   • Для браузеров Firefox: щелкните значок предупреждения в строке URL-адреса, чтобы открыть меню. Выберите «Незащищенное соединение» > «Подробнее». В диалоговом окне щелкните «Просмотреть сертификат». Щелкните отсутствующий сертификат, чтобы загрузить его в файловую систему локального компьютера.
3. Если это еще не сделано, выполните вход на сервер RaaS с помощью протокола SSH.
4. Добавьте файл сертификата в конец файла в следующем каталоге: /etc/pki/tls/certs/ca-bundle.crt. Сертификат можно добавить в конец файла с помощью следующей команды, заменив имя файла-примера соответствующим именем файла:

   cat <certificate-file>.crt  >> /etc/pki/tls/certs/ca-bundle.crt

   Примечание:

   С помощью этой команды можно также скопировать файлы с расширением .pem.

5. Перейдите в каталог /usr/lib/systemd/system и откройте файл raas.service в редакторе. Добавьте следующую строку в этот файл в любом месте выше строки ExecStart:

   Environment=REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt

6. Перезагрузите управляющую программу и перезапустите RaaS с помощью следующих команд:

   systemctl daemon-reload
   systemctl stop raas
   rm /var/log/raas/raas
   systemctl start raas
   tail -f /var/log/raas/raas

   Примечание:

   Используйте tail -f /var/log/raas/raas для постоянного отображения файла журнала RaaS. Это может помочь при устранении неполадок.

7. Выполните вход в веб-интерфейс SaltStack Config, чтобы убедиться в том, что проблема устранена. В таком случае в SaltStack Config будет отображаться страница «Панель управления».

Следующие шаги

После настройки сертификатов SSL может понадобиться выполнить дополнительные действия после установки.

Если вы используете SaltStack SecOps, далее нужно будет настроить эти службы. Дополнительные сведения см. в разделе Настройка SaltStack SecOps.

Если вы завершили все необходимые шаги, выполняемые после установки, далее необходимо создать интеграцию между SaltStack Config и vRealize Automation SaltStack SecOps. Дополнительные сведения см. в разделе Создание интеграции между SaltStack Config и vRealize Automation.