HINWEIS: Befolgen Sie diesen Wissensdatenbank-Artikel nur für von VCF verwaltete NSX-T-Verbundumgebungen.
Hintergrund:
Wir haben verschiedene Arten von NSX-T-Zertifikaten.
Zertifikatname |
Zweck |
Austauschbare |
Standardgültigkeit |
Tomcat |
Dies ist ein API-Zertifikat, das für die externe Kommunikation mit einzelnen NSX Manager-Nodes über die Benutzeroberfläche oder API verwendet wird. |
Ja |
825 Tage |
MP-Cluster |
Dies ist ein API-Zertifikat, das für die externe Kommunikation mit dem NSX Manager-Cluster mithilfe der Cluster-VIP über die Benutzeroberfläche oder API verwendet wird. |
Ja |
825 Tage |
LocalManager |
Dies ist ein Plattform-Prinzipalidentitätszertifikat für den Verbund. Wenn Sie keinen Verbund verwenden, wird dieses Zertifikat nicht verwendet. |
Ja |
825 Tage |
Für VCF-Lösungen:
Tomcat und mp-cluster werden durch CA-Zertifikate ersetzt, die von VMCA über vCenter signiert wurden. Die mp-cluster und Tomcat-Zertifikate sind möglicherweise noch vorhanden, werden jedoch nicht verwendet.
NSX-T Manager mit VCF:
- Tomcat – Node1 > wird nicht verwendet
- mp-cluster – VIP > wird nicht verwendet
Während des Hochfahrens ersetzt mit den nachstehenden:
Wenn Sie sehen möchten, ob das Zertifikat verwendet wird, verwenden Sie die folgende API auf der Postman-Plattform:
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>
Das Zertifikat des lokalen Managers ist das Prinzipalidentitätszertifikat, das für die Kommunikation mit anderen Standorten im Verbund verwendet wird.
Eine
NSX-T-Verbundumgebung enthält einen aktiven und einen Stand-by-Global Manager-Cluster sowie ein oder mehrere Local Manager-Cluster.
Abbildung 1: Zeigt drei Standorte mit aktiven und Stand-by-Global Manager-Clustern an den Standorten 1 und 2 mit Local Manager-Clustern an allen drei Standorten an.
Um die Umgebung zu überprüfen und herauszufinden, wie viele lokale Managercluster vorhanden sind, führen Sie die folgenden Schritte aus und machen Sie einen Screenshot:
Systemkonfiguration>
>
Speicherort Manager
- Oben im Local Manager wird angezeigt, bei welchem Cluster Sie angemeldet sind. In diesem Beispiel sind wir bei einem lokalen Managercluster angemeldet.
- In der Mitte der Seite werden die Global Manager-Cluster angezeigt und es wird angezeigt, welches Cluster aktiv und welches im Stand-by-Modus ist.
- Andere lokale Managercluster werden unten unter Remotestandorte angezeigt.
Abbildung 2: Clusterumgebung Local Manager
Verfahren zum Ersetzen selbstsignierter Zertifikate von lokalen Managern:
- Melden Sie sich bei NSX Manager im lokalen Manager-Cluster an.
- Erfassen Sie das NSX-T-Backup, bevor Sie fortfahren. Dieser Schritt ist sehr wichtig.
- System >Lebenszyklusmanagement>Backup und Wiederherstellung>Backup starten
Abbildung 3: NSX-T-Backup erfassen
- Überprüfen Sie die Zertifikate und das Ablaufdatum.
- Klicken Sie auf Systemeinstellungen>>Zertifikate
Im folgenden Beispiel wird das Ablaufdatum von Local-Manager-Zertifikaten in Rot angezeigt.
Abbildung 4: Ablaufdatum der Local-Manager-Zertifikate
Es gibt ein Zertifikat pro lokalem Manager-Cluster, unabhängig von der Anzahl der NSX Manager, die im Cluster vorhanden sind.
- Schritt 1: Melden Sie sich bei einem beliebigen NSX Manager auf einem lokalen Manager-Cluster 1 an.
- Schritt 2: Neue CSR erstellen.
- Klicken Sie auf Systemeinstellungen >>Zertifikate>CSRs>CSR generieren
Abbildung 5: Neue CSR generieren
-
Geben Sie unter Common Name local-manager den allgemeinen Namen ein.
-
Geben Sie den Namen als LocalManager ein.
-
Der Rest sind Unternehmens- und Standortdetails des Nutzers (diese können aus dem alten ablaufenden Zertifikat kopiert werden.)
-
Klicken Sie auf Save.
Abbildung 6: Geben Sie CSR-Namen und Ortsinformationen ein.
- Schritt 3: Erstellen Sie ein selbstsigniertes Zertifikat mithilfe der generierten CSR.
-
Aktivieren Sie das neue CSR-Kontrollkästchen >CSR-Selbstsignierungszertifikat> für CSR erstellen.
![Selbstsigniertes Zertifikat erstellen](https://supportkb.dell.com/img/ka06P000000YXygQAG/ka06P000000YXygQAG_de_7.png)
Abbildung 7: Selbstsigniertes Zertifikat erstellen
- Stellen Sie sicher, dass Servicezertifikat auf "Nein" eingestellt ist, und klicken Sie auf Speichern.
- Kehren Sie zur Registerkarte Zertifikate zurück, suchen Sie das neue Zertifikat und kopieren Sie die Zertifikat-ID.
Abbildung 8: Neue Zertifikat-ID kopieren
- Schritt 4: Ersetzen Sie das Prinzipalidentitätszertifikat für den lokalen Manager.
- Nutzer, der die Postman-Plattform installiert
- Wählen Sie auf der Registerkarte Authorization die Option Type >Basic Auth aus.
- Geben Sie die Anmeldedaten für NSX-T Manager ein.
Abbildung 9: Anmeldedetails für NSX-T Manager eingeben
- Ändern Sie auf der Registerkarte "Headers " "application/xml" in "application/json".
Abbildung 10: Ändern Sie in Postman "application/xml" in "application/json".
- Wählen Sie auf der Registerkarte Body den Befehl POST API aus.
- Wählen Sie raw und dann JSON aus.
- Geben Sie in das Feld neben POST die URL https://< nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation ein.
- Im obigen Beispiel ist die URL die IP-Adresse, die für einen beliebigen NSX Manager in einem bestimmten lokalen Managercluster verwendet wird.
- Geben Sie im Abschnitt "Text " in zwei Zeilen Folgendes ein, wie im Screenshot zu sehen:
{ "cert_id": "<certificate id, copied from step 3>",
"service_type": "LOCAL_MANAGER" }
Abbildung 11: Geben Sie die URL für einen beliebigen NSX Manager in einem bestimmten lokalen Manager-Cluster ein.
- Klicken Sie auf Senden und stellen Sie sicher, dass das Ergebnis 200 OK angezeigt wird.
- Schritt 5: Wiederholen Sie die Schritte 1 > und 4 auf jedem Local Manager-Cluster 2 und 3.
Sobald diese Schritte abgeschlossen sind, haben Sie ein neues Zertifikat auf jedem lokalen Managercluster erstellt und das Hauptidentitätszertifikat auf jedem lokalen Managercluster ersetzt.
Es ist jetzt an der Zeit, die alten ablaufenden Zertifikate von jedem der drei lokalen Managercluster zu löschen.
-
Überprüfen Sie, ob das Zertifikat nicht mehr verwendet wird.
-
Zertifikats-ID kopieren
-
Postbote öffnen
-
Wählen Sie GET API anstelle von POST aus.
-
URL eingeben https://< nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id>.
-
Suchen Sie nach "used_by" und bestätigen Sie, dass leere Klammern vorhanden sind.
"used_by" : [ ],
"resource_type" : "certificate_self_signed",
"id" : "9cd133ca-32fc-48a2-898b-7acd928512a5",
"display_name" : "local-manager",
"description" : "",
"tags" : [ ],
"_create_user" : "admin",
"_create_time" : 1677468138846,
"_last_modified_user" : "admin",
"_last_modified_time" : 1677468138846,
"_system_owned" : false,
"_protection" : "NOT_PROTECTED",
"_revision" : 0
}
- Navigieren Sie zu System >Settings Certificates >> und wählen Sie das erforderliche Zertifikat aus.
![Wählen Sie das erforderliche Zertifikat aus.](https://supportkb.dell.com/img/ka06P000000YXygQAG/ka06P000000YXygQAG_de_4.jpeg)
Abbildung 12: Wählen Sie das erforderliche Zertifikat aus.
- Klicken Sie auf Delete>Delete.
Abbildung 13: Zertifikat löschen
- So bestätigen Sie, dass die Prinzipalidentität funktioniert und die neuen Zertifikate verwendet:
-
Postbote öffnen
-
Wählen Sie GET aus.
-
Führen Sie die URL https://< nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie aus.
-
Die Ausgabe sollte der folgenden ähneln: "certificate_id" sollte die neu erstellte Zertifikat-ID anzeigen.
Abbildung 14: Certificate ID zeigt die neue Zertifikat-ID an