В рамках задач, выполняемых после установки, может понадобиться настроить сертификаты SSL (Secure Sockets Layer). Настройка сертификатов SSL не является обязательным этапом установки SaltStack Config, однако рекомендуем ее выполнить.
Перед началом работы
Настройка сертификатов SSL является одной из операций, которые необходимо выполнить в определенном порядке по завершении установки. Выполните один из сценариев установки, а затем ознакомьтесь со следующими процедурами, выполняемыми после установки.
Установка и настройка сертификатов SSL
Для создания сертификатов SSL выполните следующие действия.
- Для настройки SSL после установки требуется пакет
python36-pyOpenSSL
. Этот шаг обычно выполняется перед установкой. Если не удалось установить этот пакет раньше, его можно установить сейчас. Процедуру проверки и установки этой зависимости см. в разделе Обязательные зависимости SaltStack Config. - Создайте и задайте разрешения для папки сертификатов для службы RaaS.
sudo mkdir -p /etc/raas/pki sudo chown raas:raas /etc/raas/pki sudo chmod 750 /etc/raas/pki
- Сгенерируйте ключи для службы RaaS, используя Salt, или предоставьте собственный ключ.
sudo salt-call --local tls.create_self_signed_cert tls_dir=raas sudo chown raas:raas /etc/pki/raas/certs/localhost.crt sudo chown raas:raas /etc/pki/raas/certs/localhost.key sudo chmod 400 /etc/pki/raas/certs/localhost.crt sudo chmod 400 /etc/pki/raas/certs/localhost.key
- Чтобы включить SSL-соединения с пользовательским интерфейсом SaltStack Config, сгенерируйте сертификат SSL в формате PEM или убедитесь, что у вас есть доступ к существующему сертификату в формате PEM.
- Сохраните файлы
.crt
и.key
, которые были сгенерированы на предыдущем шаге в/etc/pki/raas/certs
на узле RaaS. - Чтобы обновить конфигурацию службы RaaS, откройте
/etc/raas/raas
в текстовом редакторе. Настройте следующие значения, заменив<filename>
на имя файла сертификата SSL.tls_crt:/etc/pki/raas/certs/<filename>.crt tls_key:/etc/pki/raas/certs/<filename>.key port:443
- Перезапустите службу RaaS.
sudo systemctl restart raas
- Убедитесь, что служба RaaS работает.
sudo systemctl status raas
- Проверьте подключение к пользовательскому интерфейсу в веб-браузере. Для этого перейдите по пользовательскому URL-адресу SaltStack Config вашей организации и введите учетные данные. Дополнительные сведения о входе в систему см. в разделе Первый вход в систему и изменение учетных данных по умолчанию.
Сертификаты SSL для SaltStack Config настроены.
Обновление сертификатов SSL
Инструкции по обновлению сертификатов SSL для SaltStack Config доступны в базе знаний VMware. Дополнительные сведения см. в разделе Обновление сертификатов SSL для SaltStack Config.
Устранение неполадок в средах SaltStack Config с vRealize Automation, в которых используются самозаверяющие сертификаты
Эта информация предназначена для клиентов, работающих с развертываниями vRealize Automation, в которых используется сертификат, подписанный нестандартным центром сертификации.
В SaltStack Config могут возникать следующие симптомы.
- При первом открытии vRealize Automation в браузере рядом с URL-адресом или на странице отображения появляется предупреждение системы безопасности о том, что сертификат нельзя проверить.
- При попытке открыть пользовательский интерфейс SaltStack Config в браузере может отображаться ошибка 403 или пустой экран.
Эти симптомы могут быть связаны с тем, что в развертывании vRealize Automation используется сертификат, подписанный нестандартным центром сертификации. Чтобы проверить, является ли это причиной отображения пустого экрана в SaltStack Config, с помощью протокола SSH выполните вход на узел, на котором размещается SaltStack Config, и просмотрите файл журнала RaaS (/var/log/raas/raas
). При наличии сообщения об ошибке обратной трассировки, которое указывает на то, что самозаверяющие сертификаты запрещены, проблему можно попробовать решить двумя способами.
В целях безопасности не следует настраивать в производственной среде использование самозаверяющих или неправильно подписанных сертификатов для проверки подлинности vRealize Automation или SaltStack Config. Рекомендуется использовать сертификаты из доверенных центров сертификации.
Если вы решили использовать самозаверяющие или неправильно подписанные сертификаты, это может подвергнуть систему серьезному риску нарушения безопасности. Будьте внимательны при использовании этой процедуры.
Если вы столкнулись с этой проблемой и вам необходимо продолжить использовать сертификат, подписанный нестандартным центром сертификации, в своей среде, вам доступно два варианта действий.
Первый вариант — добавить корневой центр сертификации vRealize Automation в свою среду SaltStack Config. Второй вариант — отключить проверку сертификатов vRealize Automation в SaltStack Config.
Добавление корневого центра сертификации vRealize Automation в среду SaltStack Config
Для процедуры требуется:
- доступ с правами root;
- возможность подключиться с помощью протокола SSH к серверу RaaS.
В целях безопасности этот уровень доступа должен предоставляться только старшим специалистам, пользующимся наибольшим доверием в вашей организации. Тщательно отбирайте пользователей для предоставления доступа root к вашей среде.
Возможно, вместо использования самозаверяющих сертификатов будет проще создать частный центр сертификации и подписывать с помощью него свои собственные сертификаты vRealize Automation. Преимущество этого подхода заключается в том, что этот процесс требуется проходить только один раз для каждого необходимого сертификата vRealize Automation. В противном случае потребуется проходить этот процесс для каждого создаваемого сертификата vRealize Automation. Дополнительные сведения о создании частного центра сертификации см. в разделе Подписание сертификата собственным центром сертификации (Stack Overflow).
Чтобы добавить сертификат, подписанный нестандартным центром сертификации, в список центров сертификации в SaltStack Config, выполните следующие действия.
- Попробуйте открыть веб-интерфейс vRealize Automation в браузере. В окне рядом с URL-адресом должно появиться предупреждение.
- Запустите следующий сценарий для получения и установки сертификата, заменив
<vra_fqdn>
на полное доменное имя vRealize Automation:echo -n | openssl s_client -connect <vra_fqdn>:443 -showcerts | tac | sed -ne '1,/-BEGIN CERTIFICATE-/p' | tac | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' | tee -a /etc/pki/tls/certs/ca-bundle.crt && sed -i.bak '/ExecStart\=/iEnvironment=REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt' /usr/lib/systemd/system/raas.service && systemctl daemon-reload && systemctl stop raas && rm /var/log/raas/raas && systemctl start raas && echo -e 'Starting RaaS Service and tailing the log to see if errors persist. \n Please Wait' && sleep 10 && echo -e 'Relaunch the web browser and navigate to the vRASSC login page and monitor this screen for further errors.\n CTRL+C to exit the tail' && tail -f /var/log/raas/raas
- Выполните вход в веб-интерфейс SaltStack Config, чтобы убедиться в том, что проблема устранена. В таком случае в SaltStack Config будет отображаться страница «Панель управления».
Отключение проверки сертификатов
Чтобы отключить проверку сертификатов в SaltStack Config, выполните следующие действия.
- Откройте на узле RaaS файл конфигурации RaaS, который хранится здесь:
/etc/raas/raas
. - В настройке
vra
задайте для параметраvalidate_ssl
значениеfalse
. - Выполните команду
systemctl restart raas
, чтобы перезапустить службу RaaS. - Выполните вход в веб-интерфейс SaltStack Config, чтобы убедиться в том, что проблема устранена. В таком случае в SaltStack Config будет отображаться страница «Панель управления».
Следующие шаги
После настройки сертификатов SSL может понадобиться выполнить дополнительные действия после установки.
Если вы используете SaltStack SecOps, далее нужно будет настроить эти службы. Дополнительные сведения см. в разделе Настройка SaltStack SecOps.
Если вы завершили все необходимые шаги, выполняемые после установки, далее необходимо создать интеграцию между SaltStack Config и vRealize Automation SaltStack SecOps. Дополнительные сведения см. в разделе Настройка интеграции SaltStack Config в службе vRealize Automation.