Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000210329

VCF auf VxRail: Ersetzen eines selbstsignierten NSX-T Local-Manager-Zertifikats

Summary: Ersetzen Sie das selbstsignierte Zertifikat des lokalen NSX-T-Managers. HINWEIS: Befolgen Sie diesen Wissensdatenbank-Artikel nur für von VCF verwaltete NSX-T-Verbundumgebungen.

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Instructions

HINWEIS: Befolgen Sie diesen Wissensdatenbank-Artikel nur für von VCF verwaltete NSX-T-Verbundumgebungen.

Hintergrund:
Wir haben verschiedene Arten von NSX-T-Zertifikaten.
 
Zertifikatname Zweck Austauschbare Standardgültigkeit
Tomcat Dies ist ein API-Zertifikat, das für die externe Kommunikation mit einzelnen NSX Manager-Nodes über die Benutzeroberfläche oder API verwendet wird. Ja 825 Tage
MP-Cluster Dies ist ein API-Zertifikat, das für die externe Kommunikation mit dem NSX Manager-Cluster mithilfe der Cluster-VIP über die Benutzeroberfläche oder API verwendet wird. Ja 825 Tage
LocalManager Dies ist ein Plattform-Prinzipalidentitätszertifikat für den Verbund. Wenn Sie keinen Verbund verwenden, wird dieses Zertifikat nicht verwendet. Ja 825 Tage

Für VCF-Lösungen:
Tomcat und mp-cluster werden durch CA-Zertifikate ersetzt, die von VMCA über vCenter signiert wurden. Die mp-cluster und Tomcat-Zertifikate sind möglicherweise noch vorhanden, werden jedoch nicht verwendet.

NSX-T Manager mit VCF:
  • Tomcat – Node1 > wird nicht verwendet
  • mp-cluster – VIP > wird nicht verwendet
Während des Hochfahrens ersetzt mit den nachstehenden:
  • CA – Node1
  • CA – VIP
Wenn Sie sehen möchten, ob das Zertifikat verwendet wird, verwenden Sie die folgende API auf der Postman-Plattform: 
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>
Das Zertifikat des lokalen Managers ist das Prinzipalidentitätszertifikat, das für die Kommunikation mit anderen Standorten im Verbund verwendet wird.

Eine NSX-T-Verbundumgebung enthält einen aktiven und einen Stand-by-Global Manager-Cluster sowie ein oder mehrere Local Manager-Cluster.
 
Zeigt drei Standorte mit aktiven und Stand-by-Global Manager-Clustern an den Standorten 1 und 2 mit Local Manager-Clustern an allen drei Standorten an.
Abbildung 1: Zeigt drei Standorte mit aktiven und Stand-by-Global Manager-Clustern an den Standorten 1 und 2 mit Local Manager-Clustern an allen drei Standorten an.

Um die Umgebung zu überprüfen und herauszufinden, wie viele lokale Managercluster vorhanden sind, führen Sie die folgenden Schritte aus und machen Sie einen Screenshot:

Systemkonfiguration>>Speicherort Manager
  • Oben im Local Manager wird angezeigt, bei welchem Cluster Sie angemeldet sind. In diesem Beispiel sind wir bei einem lokalen Managercluster angemeldet.
  • In der Mitte der Seite werden die Global Manager-Cluster angezeigt und es wird angezeigt, welches Cluster aktiv und welches im Stand-by-Modus ist.
  • Andere lokale Managercluster werden unten unter Remotestandorte angezeigt.
Clusterumgebung Local Manager
Abbildung 2: Clusterumgebung Local Manager

Verfahren zum Ersetzen selbstsignierter Zertifikate von lokalen Managern:
  1. Melden Sie sich bei NSX Manager im lokalen Manager-Cluster an.
  2. Erfassen Sie das NSX-T-Backup, bevor Sie fortfahren. Dieser Schritt ist sehr wichtig.
    1. System >Lebenszyklusmanagement>Backup und Wiederherstellung>Backup starten
NSX-T-Backup erfassen
Abbildung 3: NSX-T-Backup erfassen 
  1. Überprüfen Sie die Zertifikate und das Ablaufdatum.
    1. Klicken Sie auf Systemeinstellungen>>Zertifikate
Im folgenden Beispiel wird das Ablaufdatum von Local-Manager-Zertifikaten in Rot angezeigt.
 
Ablaufdatum der Local-Manager-Zertifikate
Abbildung 4: Ablaufdatum der Local-Manager-Zertifikate

Es gibt ein Zertifikat pro lokalem Manager-Cluster, unabhängig von der Anzahl der NSX Manager, die im Cluster vorhanden sind.
  1. Schritt 1: Melden Sie sich bei einem beliebigen NSX Manager auf einem lokalen Manager-Cluster 1 an.
  2. Schritt 2: Neue CSR erstellen.
    1. Klicken Sie auf Systemeinstellungen >>Zertifikate>CSRs>CSR generieren
Neue CSR generieren
Abbildung 5: Neue CSR generieren
  1. Geben Sie unter Common Name local-manager den allgemeinen Namen ein.
  2. Geben Sie den Namen als LocalManager ein.
  3. Der Rest sind Unternehmens- und Standortdetails des Nutzers (diese können aus dem alten ablaufenden Zertifikat kopiert werden.)
  4. Klicken Sie auf Save.
CSR-Namen und Ortsinformationen eingeben
Abbildung 6: Geben Sie CSR-Namen und Ortsinformationen ein.
  1. Schritt 3: Erstellen Sie ein selbstsigniertes Zertifikat mithilfe der generierten CSR.
    1. Aktivieren Sie das neue CSR-Kontrollkästchen >CSR-Selbstsignierungszertifikat> für CSR erstellen.
Selbstsigniertes Zertifikat erstellen
Abbildung 7: Selbstsigniertes Zertifikat erstellen
  1. Stellen Sie sicher, dass Servicezertifikat auf "Nein" eingestellt ist, und klicken Sie auf Speichern.
  2. Kehren Sie zur Registerkarte Zertifikate zurück, suchen Sie das neue Zertifikat und kopieren Sie die Zertifikat-ID.
Neue Zertifikat-ID kopieren
Abbildung 8: Neue Zertifikat-ID kopieren
 
  1. Schritt 4: Ersetzen Sie das Prinzipalidentitätszertifikat für den lokalen Manager.
    1. Nutzer, der die Postman-Plattform installiert
    2. Wählen Sie auf der Registerkarte Authorization die Option Type >Basic Auth aus.
    3. Geben Sie die Anmeldedaten für NSX-T Manager ein.
Anmeldedetails für NSX-T Manager eingeben
Abbildung 9: Anmeldedetails für NSX-T Manager eingeben
  1. Ändern Sie auf der Registerkarte "Headers " "application/xml" in "application/json".
Ändern Sie in Postman
Abbildung 10: Ändern Sie in Postman "application/xml" in "application/json".
  1. Wählen Sie auf der Registerkarte Body den Befehl POST API aus.
    1. Wählen Sie raw und dann JSON aus.
    2. Geben Sie in das Feld neben POST die URL https://< nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation ein.
    3. Im obigen Beispiel ist die URL die IP-Adresse, die für einen beliebigen NSX Manager in einem bestimmten lokalen Managercluster verwendet wird.
    4. Geben Sie im Abschnitt "Text " in zwei Zeilen Folgendes ein, wie im Screenshot zu sehen:
{ "cert_id": "<certificate id, copied from step 3>",
"service_type": "LOCAL_MANAGER" }
 
URL für einen beliebigen NSX Manager in einem bestimmten lokalen Manager-Cluster eingeben
Abbildung 11: Geben Sie die URL für einen beliebigen NSX Manager in einem bestimmten lokalen Manager-Cluster ein.
  1. Klicken Sie auf Senden und stellen Sie sicher, dass das Ergebnis 200 OK angezeigt wird.
 
  1. Schritt 5: Wiederholen Sie die Schritte 1 > und 4 auf jedem Local Manager-Cluster 2 und 3.
Sobald diese Schritte abgeschlossen sind, haben Sie ein neues Zertifikat auf jedem lokalen Managercluster erstellt und das Hauptidentitätszertifikat auf jedem lokalen Managercluster ersetzt.

Es ist jetzt an der Zeit, die alten ablaufenden Zertifikate von jedem der drei lokalen Managercluster zu löschen.
  1. Überprüfen Sie, ob das Zertifikat nicht mehr verwendet wird.
    1. Zertifikats-ID kopieren
    2. Postbote öffnen
    3. Wählen Sie GET API anstelle von POST aus.
    4. URL eingeben https://< nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id>.
    5. Suchen Sie nach "used_by" und bestätigen Sie, dass leere Klammern vorhanden sind. 
    "used_by" : [ ],
    "resource_type" : "certificate_self_signed",
    "id" : "9cd133ca-32fc-48a2-898b-7acd928512a5",
    "display_name" : "local-manager",
    "description" : "",
    "tags" : [ ],
    "_create_user" : "admin",
    "_create_time" : 1677468138846,
    "_last_modified_user" : "admin",
    "_last_modified_time" : 1677468138846,
    "_system_owned" : false,
    "_protection" : "NOT_PROTECTED",
    "_revision" : 0
  }
  1. Navigieren Sie zu System >Settings Certificates >> und wählen Sie das erforderliche Zertifikat aus.
Wählen Sie das erforderliche Zertifikat aus.
Abbildung 12: Wählen Sie das erforderliche Zertifikat aus.
  1. Klicken Sie auf Delete>Delete.
Zertifikat löschen
Abbildung 13: Zertifikat löschen
  1. So bestätigen Sie, dass die Prinzipalidentität funktioniert und die neuen Zertifikate verwendet:
    1. Postbote öffnen
    2. Wählen Sie GET aus.
    3. Führen Sie die URL https://< nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie aus.
    4. Die Ausgabe sollte der folgenden ähneln: "certificate_id" sollte die neu erstellte Zertifikat-ID anzeigen.
Certificate ID zeigt die neue Zertifikat-ID an
Abbildung 14: Certificate ID zeigt die neue Zertifikat-ID an

Additional Information

Um das Global Manager-Zertifikat zu ersetzen, befolgen Sie denselben Prozess, ändern Sie jedoch "LOCAL_MANAGER" in "GLOBAL_MANAGER" und führen Sie das Verfahren vom Global Manager-Cluster aus durch.

Weitere Informationen finden Sie in der VMware-Dokumentation:

Article Properties

Affected Product

VMWare Cloud on Dell EMC VxRail E560F, VMWare Cloud on Dell EMC VxRail E560N, VxRail Appliance Family, VxRail Appliance Series, VxRail D Series Nodes, VxRail D560, VxRail D560F, VxRail E Series Nodes, VxRail E460, VxRail E560

Product
VxRail G410, VxRail G Series Nodes, VxRail E560 VCF, VxRail E560F, VxRail E560F VCF, VxRail E560N, VxRail E560N VCF, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560, VxRail G560 VCF, VxRail G560F , VxRail G560F VCF, VxRail Gen2 Hardware, VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570 VCF, VxRail P570F, VxRail P570F VCF, VxRail P580N, VxRail P580N VCF, VXRAIL P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S570 VCF, VxRail S670, VxRail Software, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570 VCF, VxRail V570F, VxRail V570F VCF, VXRAIL V670F, VxRail VD-4000R, VxRail VD-4000W, VxRail VD-4000Z, VxRail VD-4510C, VxRail VD-4520C, VxRail VD Series Nodes ...
Last Published Date

27 Apr 2023

Version

2

Article Type

How To

Back to Top