VCF VxRail-laitteissa: Korvaa NSX-T Local-Managerin itse allekirjoitettu varmenne

Tausta:
Meillä on erityyppisiä NSX-T-sertifikaatteja.

Varmenteen nimi	Tarkoitus	Vaihdettava	Oletusarvoinen voimassaolo
Tomcat	Tämä on API-varmenne, jota käytetään ulkoiseen viestintään yksittäisten NSX Manager -solmujen kanssa käyttöliittymän tai API:n kautta.	Kyllä	825 päivää
MP-klusteri	Se on API-varmenne, jota käytetään ulkoiseen viestintään NSX Manager -klusterin kanssa klusterin VIP kautta käyttöliittymän tai API:n kautta.	Kyllä	825 päivää
Paikallinen johtaja	Tämä on Federation-alustan päähenkilöllisyyden varmenne. Jos et käytä liittoutumista, tätä varmennetta ei käytetä.	Kyllä	825 päivää

VCF-ratkaisut:
Tomcat ja mp-klusteri korvataan VMCA:n vCenterin allekirjoittamilla CA-varmenteilla. mp-klusteri ja Tomcat-sertifikaatit voivat olla edelleen olemassa, mutta niitä ei käytetä.

NSX-T Manager ja VCF:

• Tomcat – Node1 > ei käytössä
• mp-cluster - VIP > ei käytössä

Vaihdettu esittelyn aikana seuraavasti:

• CA -Solmu1
• CA - VIP

Jos haluat nähdä, käytetäänkö varmennetta, käytä seuraavaa ohjelmointirajapintaa Postman-alustalla:

GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>

Paikallisen esimiehen varmenne on pääkäyttäjän varmenne, jota käytetään viestintään liittoutumisen muiden sivustojen kanssa.

NSX-T Federation -ympäristö sisältää aktiivisen ja valmiustilassa olevan Global Manager -klusterin sekä yhden tai useamman Local Manager -klusterin.
 
Voit tarkistaa ympäristön ja selvittää, kuinka monta Local Manager -klusteria on, noudattamalla alla olevia ohjeita ja kuvakaappausta:

System >Configuration>Location Manager

• Local Managerin yläreunasta näet, mihin klusteriin olet kirjautuneena. Tässä esimerkissä olemme kirjautuneena Local Manager -klusteriin.
• Sivun keskellä näkyvät yleisen hallinnan klusterit ja mikä klusteri on aktiivinen ja mikä valmiustilassa.
• Muut Local Manager -klusterit näkyvät alareunassa Remote Sites -kohdassa.

Paikallisen esimiehen itse allekirjoittamien varmenteiden korvaaminen:

1. Kirjaudu NSX Manageriin Local Manager -klusterissa.
2. Kerää NSX-T-varmuuskopio ennen jatkamista. Tämä vaihe on erittäin tärkeä.
   1. Järjestelmä >Elinkaaren hallinta>Varmuuskopiointi ja palautus>Aloita varmuuskopiointi

3. Tarkista varmenteet ja viimeinen voimassaolopäivä.
   1. Valitse Järjestelmäasetukset >>, varmenteet

Local Manager -klusteria kohden on yksi varmenne klusterissa olevien NSX-esimiesten määrästä riippumatta.

1. Vaihe 1: Kirjaudu mihin tahansa NSX Manageriin Local Manager -klusterissa 1.
2. Vaihe 2: Luo uusi CSR.
   1. Valitse Järjestelmäasetukset >>Varmenteet>CSR:t>Luo CSR

2. Kirjoita yleinen nimi local-manageriksi.
3. Kirjoita nimeksi LocalManager.
4. Loppu on käyttäjän yritys- ja sijaintitietoja (tämä voidaan kopioida vanhasta vanhenevasta varmenteesta.)
5. Valitse Save.

3. Vaihe 3: Luo itse allekirjoitettu varmenne luodun CSR:n avulla.
   1. Valitse uusi CSR-valintaruutu >Luo CSR>:n itseallekirjoitettava varmenne CSR:lle.

2. Varmista, että huoltovarmenteen arvo on Ei, ja valitse Tallenna.
3. Palaa Varmenteet-välilehteen , etsi uusi varmenne ja kopioi varmenteen tunnus.

4. Vaihe 4: Korvaa paikallisen esimiehen päähenkilötodistus.
   1. Käyttäjä asentaa Postman-alustan.
   2. Valitse Valtuutus-välilehdessä Kirjoita >Basic Auth.
   3. Anna NSX-T Managerin kirjautumistiedot.

4. Muuta Headers-välilehdessä application/xml arvoksi application/json.

5. Valitse Body-välilehdessä POSTAPI -komento. 
   1. Valitse raw ja valitse sitten JSON.
   2. Kirjoita POST-kohdan vieressä olevaan ruutuun URL https://< nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
   3. Edellä mainittu URL-osoite on IP-osoite, jota käytetään mille tahansa tietyn paikallisen hallinnan klusterin NSX-esimiehelle.
   4. Kirjoita leipätekstiosaan alla oleva kahdella rivillä kuvakaappauksen mukaisesti:

{ "cert_id": "<certificate id, copied from step 3>",
"service_type": "LOCAL_MANAGER" }

6. Napsauta Lähetä ja varmista, että näet tuloksen 200 OK.

 

5. Vaihe 5: Toista vaiheet 1 > ja 4 kussakin Local Manager -klusterissa 2 ja 3.

1. Tarkista, että varmenne ei ole enää käytössä.
   1. Kopioi varmenteen tunnus
   2. Avaa postimies
   3. Valitse GET API POST:in sijaan.
   4. Kirjoita URL-osoite https://< nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id>
   5. Etsi used_by ja varmista, että siinä on tyhjät hakasulkeet.

    "used_by" : [ ],
    "resource_type" : "certificate_self_signed",
    "id" : "9cd133ca-32fc-48a2-898b-7acd928512a5",
    "display_name" : "local-manager",
    "description" : "",
    "tags" : [ ],
    "_create_user" : "admin",
    "_create_time" : 1677468138846,
    "_last_modified_user" : "admin",
    "_last_modified_time" : 1677468138846,
    "_system_owned" : false,
    "_protection" : "NOT_PROTECTED",
    "_revision" : 0
  }

2. Siirry kohtaan Järjestelmäasetukset >>, varmenteet>, valitse tarvittava varmenne.

3. Valitse Delete>Delete.

4. Näin voit varmistaa, että pääkäyttäjän henkilöllisyys toimii ja käyttää uusia varmenteita:
   1. Avaa postimies
   2. Valitse HAE.
   3. Suorita URL-osoite https://< nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie.
   4. Tuloksen on oltava samanlainen kuin alla, certificate_id-kohdassa pitäisi näkyä juuri luotu varmennetunnus.

Voit korvata Global Manager -varmenteen samalla tavalla, mutta muuttaa LOCAL_MANAGER-varmenteen GLOBAL_MANAGER-varmenteeksi ja tehdä toimenpiteen Global Manager -klusterissa.

Lisätietoja on VMware-asiakirjoissa:

• Varmenteiden tyypit 
• Global Managerin ja Local Managerien määrittäminen
• Korvaa varmenteet versiossa 3.2 
• Korvaa varmenteet versiossa 3.1
• Luo varmenteen allekirjoituspyyntötiedosto