作為安裝後程序的一部分,可能需要設定安全通訊端層 (SSL) 憑證。安裝 SaltStack Config 時,設定 SSL 憑證是可選操作,但建議執行此操作。
開始之前
設定 SSL 憑證是一系列步驟中的一個安裝後步驟,這些步驟應按特定順序執行。首先,完成其中一個安裝案例,然後閱讀以下安裝後頁面:
設定 SSL 憑證
建立 SSL 憑證:
- 若要在安裝後設定 SSL,則必須使用
python36-pyOpenSSL
套件。此步驟通常在安裝前完成。如果在安裝前未能進行安裝,可以現在安裝。如需檢查和安裝此相依項的相關指示,請參閱〈安裝或升級 Salt〉。 - 針對 RaaS 服務的憑證資料夾建立和設定權限。
sudo mkdir -p /etc/raas/pki sudo chown raas:raas /etc/raas/pki sudo chmod 750 /etc/raas/pki
- 使用 Salt 為 RaaS 服務產生金鑰,或提供您自己的金鑰。
sudo salt-call --local tls.create_self_signed_cert tls_dir=raas sudo chown raas:raas /etc/pki/raas/certs/localhost.crt sudo chown raas:raas /etc/pki/raas/certs/localhost.key sudo chmod 400 /etc/pki/raas/certs/localhost.crt sudo chmod 400 /etc/pki/raas/certs/localhost.key
- 若要啟用與 SaltStack Config 使用者介面的 SSL 連線,請產生 PEM 編碼的 SSL 憑證,或確保您具有現有 PEM 編碼憑證的存取權。
- 將上一個步驟中產生的
.crt
和.key
檔案儲存至 RaaS 節點上的/etc/pki/raas/certs
。 - 透過在文字編輯器中開啟
/etc/raas/raas
來更新 RaaS 服務組態。設定下列值,將<filename>
取代為 SSL 憑證檔案名稱:tls_crt:/etc/pki/raas/certs/<filename>.crt tls_key:/etc/pki/raas/certs/<filename>.key port:443
- 重新啟動 RaaS 服務。
sudo systemctl restart raas
- 確認 RaaS 服務是否正在執行。
sudo systemctl status raas
- 在網頁瀏覽器中,透過導覽至組織的自訂 SaltStack Config URL 並輸入認證,確認可以連線至使用者介面。如需有關登入的詳細資訊,請參閱〈首次登入並變更預設認證〉。
SaltStack Config 的 SSL 憑證現已設定完成。
更新 SSL 憑證
如需為 SaltStack Config 更新 SSL 憑證的相關指示,請參閱 VMware 知識庫。如需詳細資訊,請參閱〈如何為 SaltStack Config 更新 SSL 憑證〉。
後續步驟
設定 SSL 憑證後,可能需要完成其他安裝後步驟。
如果您是 SaltStack SecOps 客戶,下一步是設定這些服務。如需詳細資訊,請參閱設定 SaltStack SecOps。