作為安裝後程序的一部分,可能需要設定安全通訊端層 (SSL) 憑證。安裝 SaltStack Config 時,設定 SSL 憑證是可選操作,但建議執行此操作。
開始之前
設定 SSL 憑證是一系列步驟中的一個安裝後步驟,這些步驟應按特定順序執行。首先,完成其中一個安裝案例,然後閱讀以下安裝後頁面:
設定 SSL 憑證
建立 SSL 憑證:
- 若要在安裝後設定 SSL,則必須使用
python36-pyOpenSSL
套件。此步驟通常在安裝前完成。如果在安裝前未能進行安裝,可以現在安裝。如需檢查和安裝此相依性的相關指示,請參閱所需的 SaltStack Config 相依性。 - 針對 RaaS 服務的憑證資料夾建立和設定權限。
sudo mkdir -p /etc/raas/pki sudo chown raas:raas /etc/raas/pki sudo chmod 750 /etc/raas/pki
- 使用 Salt 為 RaaS 服務產生金鑰,或提供您自己的金鑰。
sudo salt-call --local tls.create_self_signed_cert tls_dir=raas sudo chown raas:raas /etc/pki/raas/certs/localhost.crt sudo chown raas:raas /etc/pki/raas/certs/localhost.key sudo chmod 400 /etc/pki/raas/certs/localhost.crt sudo chmod 400 /etc/pki/raas/certs/localhost.key
- 若要啟用與 SaltStack Config 使用者介面的 SSL 連線,請產生 PEM 編碼的 SSL 憑證,或確保您具有現有 PEM 編碼憑證的存取權。
- 將上一個步驟中產生的
.crt
和.key
檔案儲存至 RaaS 節點上的/etc/pki/raas/certs
。 - 透過在文字編輯器中開啟
/etc/raas/raas
來更新 RaaS 服務組態。設定下列值,將<filename>
取代為 SSL 憑證檔案名稱:tls_crt:/etc/pki/raas/certs/<filename>.crt tls_key:/etc/pki/raas/certs/<filename>.key port:443
- 重新啟動 RaaS 服務。
sudo systemctl restart raas
- 確認 RaaS 服務是否正在執行。
sudo systemctl status raas
- 在網頁瀏覽器中,透過導覽至組織的自訂 SaltStack Config URL 並輸入認證,確認可以連線至使用者介面。如需有關登入的詳細資訊,請參閱〈首次登入並變更預設認證〉。
SaltStack Config 的 SSL 憑證現已設定完成。
更新 SSL 憑證
如需為 SaltStack Config 更新 SSL 憑證的相關指示,請參閱 VMware 知識庫。如需詳細資訊,請參閱〈如何為 SaltStack Config 更新 SSL 憑證〉。
對 SaltStack Config 使用自我簽署憑證的 vRealize Automation 環境進行疑難排解
此資訊適用於使用非標準憑證授權機構簽署的憑證進行 vRealize Automation 部署的客戶。
SaltStack Config 可能會遇到以下症狀:
- 首次開啟 vRealize Automation 時,網頁瀏覽器會在 URL 旁邊或顯示頁面中顯示一條安全警告,指明無法驗證憑證。
- 嘗試在網頁瀏覽器中開啟 SaltStack Config 使用者介面時,可能會顯示 403 錯誤或空白螢幕。
如果 vRealize Automation 部署使用非標準憑證授權機構簽署的憑證,則可能會導致出現這些症狀。若要驗證這是否導致 SaltStack Config 顯示空白螢幕,請透過 SSH 登入託管 SaltStack Config 的節點,然後檢閱 RaaS 記錄檔 (/var/log/raas/raas
)。如果發現回溯追蹤錯誤訊息,指明不允許使用自我簽署憑證,您可以嘗試以下兩個選項來解決此問題。
安全性最佳做法是,絕不應將生產環境設定為使用自我簽署憑證或錯誤簽署的憑證來驗證 vRealize Automation 或 SaltStack Config。建議做法是改為使用受信任憑證授權機構簽署的憑證。
如果您選擇使用自我簽署或錯誤簽署的憑證,可能會將您的系統置於安全性漏洞的嚴重風險之中。使用此程序時,請謹慎進行。
如果遇到此問題,並且您的環境需要繼續使用由非標準憑證授權機構簽署的憑證,則以下兩個選項可供您使用。
第一個選項是將 vRealize Automation 根憑證授權機構 (CA) 新增至 SaltStack Config 環境。第二個選項是在 SaltStack Config 中停用 vRealize Automation 憑證驗證。
將 vRealize Automation 根憑證授權機構 (CA) 新增至 SaltStack Config 環境
此程序需要:
- 根存取權
- 能夠使用 SSH 登入 RaaS 伺服器
額外的安全性最佳做法是,僅向組織中最受信任和最資深的人員授與此層級的存取權。請謹慎限制對環境的根存取權。
您可能會發現,建立專用憑證授權機構並使用該憑證授權機構簽署您自己的 vRealize Automation 憑證比使用自我簽署憑證更容易。這種方法的優點是,對於所需的每個 vRealize Automation 憑證,只需要執行一次此過程。否則,您必須針對建立的每個 vRealize Automation 憑證執行此過程。如需建立專用憑證授權機構的詳細資訊,請參閱如何使用自己的憑證授權機構簽署憑證請求 (Stack Overflow)。
若要將非標準憑證授權機構簽署的憑證新增到 SaltStack Config 中的憑證授權機構清單,請執行以下操作:
- 嘗試在瀏覽器中開啟 vRealize Automation Web 介面。憑證應在瀏覽器視窗和 URL 顯示中顯示警告訊息。
- 執行以下指令碼以取得並安裝憑證,並將
<vra_fqdn>
取代為您的 vRealize Automation FQDN:echo -n | openssl s_client -connect <vra_fqdn>:443 -showcerts | tac | sed -ne '1,/-BEGIN CERTIFICATE-/p' | tac | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' | tee -a /etc/pki/tls/certs/ca-bundle.crt && sed -i.bak '/ExecStart\=/iEnvironment=REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt' /usr/lib/systemd/system/raas.service && systemctl daemon-reload && systemctl stop raas && rm /var/log/raas/raas && systemctl start raas && echo -e 'Starting RaaS Service and tailing the log to see if errors persist. \n Please Wait' && sleep 10 && echo -e 'Relaunch the web browser and navigate to the vRASSC login page and monitor this screen for further errors.\n CTRL+C to exit the tail' && tail -f /var/log/raas/raas
- 登入 SaltStack Config Web 介面,驗證此解決方案是否已解決該問題。如果問題已解決,SaltStack Config 將顯示 [儀表板] 頁面。
停用憑證驗證
若要在 SaltStack Config 中停用憑證驗證,請執行以下操作:
- 開啟 RaaS 節點上的 RaaS 組態檔 (儲存在
/etc/raas/raas
中)。 - 在
vra
設定中,將validate_ssl
的值設為false
。 - 執行
systemctl restart raas
以重新啟動 RaaS 服務。 - 登入 SaltStack Config Web 介面,驗證此解決方案是否已解決該問題。如果問題已解決,SaltStack Config 將顯示 [儀表板] 頁面。
後續步驟
設定 SSL 憑證後,可能需要完成其他安裝後步驟。
如果您是 SaltStack SecOps 客戶,下一步是設定這些服務。如需詳細資訊,請參閱設定 SaltStack SecOps。
如果已完成所有必要的安裝後步驟,下一步是將 SaltStack Config 與 vRealize Automation SaltStack SecOps 整合。如需詳細資訊,請參閱〈在 vRealize Automation 中設定 SaltStack Config 整合〉。