開始之前

設定 SSL 憑證是一系列步驟中的一個安裝後步驟，這些步驟應按特定順序執行。首先，完成其中一個安裝案例，然後閱讀以下安裝後頁面：

• 安裝授權金鑰
• 安裝並設定主節點外掛程式
• 檢查 RaaS 組態檔
• 首次登入並變更預設認證
• 接受 Salt 主節點金鑰並備份資料

設定 SSL 憑證

建立 SSL 憑證：

1. 若要在安裝後設定 SSL，則必須使用 python36-pyOpenSSL 套件。此步驟通常在安裝前完成。如果在安裝前未能進行安裝，可以現在安裝。如需檢查和安裝此相依項的相關指示，請參閱〈安裝或升級 Salt〉。
2. 針對 RaaS 服務的憑證資料夾建立和設定權限。

   sudo mkdir -p /etc/raas/pki
   sudo chown raas:raas /etc/raas/pki
   sudo chmod 750 /etc/raas/pki

3. 使用 Salt 為 RaaS 服務產生金鑰，或提供您自己的金鑰。

   sudo salt-call --local tls.create_self_signed_cert tls_dir=raas
   sudo chown raas:raas /etc/pki/raas/certs/localhost.crt
   sudo chown raas:raas /etc/pki/raas/certs/localhost.key
   sudo chmod 400 /etc/pki/raas/certs/localhost.crt
   sudo chmod 400 /etc/pki/raas/certs/localhost.key

4. 若要啟用與 SaltStack Config 使用者介面的 SSL 連線，請產生 PEM 編碼的 SSL 憑證，或確保您具有現有 PEM 編碼憑證的存取權。
5. 將上一個步驟中產生的 .crt 和 .key 檔案儲存至 RaaS 節點上的 /etc/pki/raas/certs。
6. 透過在文字編輯器中開啟 /etc/raas/raas 來更新 RaaS 服務組態。設定下列值，將 <filename> 取代為 SSL 憑證檔案名稱：

   tls_crt:/etc/pki/raas/certs/<filename>.crt
   tls_key:/etc/pki/raas/certs/<filename>.key
   port:443

7. 重新啟動 RaaS 服務。

   sudo systemctl restart raas

8. 確認 RaaS 服務是否正在執行。

   sudo systemctl status raas

9. 在網頁瀏覽器中，透過導覽至組織的自訂 SaltStack Config URL 並輸入認證，確認可以連線至使用者介面。如需有關登入的詳細資訊，請參閱〈首次登入並變更預設認證〉。

SaltStack Config 的 SSL 憑證現已設定完成。

更新 SSL 憑證

如需為 SaltStack Config 更新 SSL 憑證的相關指示，請參閱 VMware 知識庫。如需詳細資訊，請參閱〈如何為 SaltStack Config 更新 SSL 憑證〉。

後續步驟

設定 SSL 憑證後，可能需要完成其他安裝後步驟。

如果您是 SaltStack SecOps 客戶，下一步是設定這些服務。如需詳細資訊，請參閱設定 SaltStack SecOps。