作為安裝後程序的一部分,可能需要設定安全通訊端層 (SSL) 憑證。安裝 SaltStack Config 時,設定 SSL 憑證是可選操作,但建議執行此操作。

開始之前

設定 SSL 憑證是一系列步驟中的一個安裝後步驟,這些步驟應按特定順序執行。首先,完成其中一個安裝案例,然後閱讀以下安裝後頁面:

設定 SSL 憑證

建立 SSL 憑證:

  1. 若要在安裝後設定 SSL,則必須使用 python36-pyOpenSSL 套件。此步驟通常在安裝前完成。如果在安裝前未能進行安裝,可以現在安裝。如需檢查和安裝此相依項的相關指示,請參閱〈安裝或升級 Salt〉
  2. 針對 RaaS 服務的憑證資料夾建立和設定權限。
    sudo mkdir -p /etc/raas/pki
    sudo chown raas:raas /etc/raas/pki
    sudo chmod 750 /etc/raas/pki
  3. 使用 Salt 為 RaaS 服務產生金鑰,或提供您自己的金鑰。
    sudo salt-call --local tls.create_self_signed_cert tls_dir=raas
    sudo chown raas:raas /etc/pki/raas/certs/localhost.crt
    sudo chown raas:raas /etc/pki/raas/certs/localhost.key
    sudo chmod 400 /etc/pki/raas/certs/localhost.crt
    sudo chmod 400 /etc/pki/raas/certs/localhost.key
  4. 若要啟用與 SaltStack Config 使用者介面的 SSL 連線,請產生 PEM 編碼的 SSL 憑證,或確保您具有現有 PEM 編碼憑證的存取權。
  5. 將上一個步驟中產生的 .crt.key 檔案儲存至 RaaS 節點上的 /etc/pki/raas/certs
  6. 透過在文字編輯器中開啟 /etc/raas/raas 來更新 RaaS 服務組態。設定下列值,將 <filename> 取代為 SSL 憑證檔案名稱:
    tls_crt:/etc/pki/raas/certs/<filename>.crt
    tls_key:/etc/pki/raas/certs/<filename>.key
    port:443
  7. 重新啟動 RaaS 服務。
    sudo systemctl restart raas
  8. 確認 RaaS 服務是否正在執行。
    sudo systemctl status raas
  9. 在網頁瀏覽器中,透過導覽至組織的自訂 SaltStack Config URL 並輸入認證,確認可以連線至使用者介面。如需有關登入的詳細資訊,請參閱〈首次登入並變更預設認證〉

SaltStack Config 的 SSL 憑證現已設定完成。

更新 SSL 憑證

如需為 SaltStack Config 更新 SSL 憑證的相關指示,請參閱 VMware 知識庫。如需詳細資訊,請參閱〈如何為 SaltStack Config 更新 SSL 憑證〉

後續步驟

設定 SSL 憑證後,可能需要完成其他安裝後步驟。

如果您是 SaltStack SecOps 客戶,下一步是設定這些服務。如需詳細資訊,請參閱設定 SaltStack SecOps