Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

VCF on VxRail: Byt ut NSX-T Local-Manager-certifikat i VCF-miljö

Summary: Den här artikeln är en guide till hur du ersätter det självsignerade NSX-T Local-Manager-certifikatet i VCF-hanterade federationsmiljöer. Se till att systemet förblir säkert och kompatibelt. ...

This article applies to   This article does not apply to 
Check out resources for

Instructions

Obs! Följ endast den här artikeln för VCF-hanterade NSX-T-federationsmiljöer!


Bakgrund:

Det finns olika typer av NSX-T-certifikat som beskrivs nedan:
 
Certifikatets namn Syfte Ersättlig Standardgiltighet
Hankatt Det här är ett API-certifikat som används för extern kommunikation med enskilda NSX Manager-noder via användargränssnittet eller API:et. Ja 825 DAGAR
mp-kluster Det här är ett API-certifikat som används för extern kommunikation med NSX Manager-klustret med klustrets VIP, via användargränssnittet eller API:et. Ja 825 DAGAR
LocalManager (på engelska) Det här är ett plattformsidentitetscertifikat för huvudnamn för federationen. Om du inte använder federation används inte det här certifikatet. Ja 825 DAGAR


För VCF-lösningar:

Tomcat och mp-cluster ersätts med CA-certifikat signerade av VMCA från vCenter. Certifikaten mp-cluster och Tomcat kan fortfarande finnas kvar, men de används inte.


NSX-T Manager med VCF:

  • Tomcat – nod 1 > används inte
  • mp-cluster – VIP > används inte
Ersattes under installationen med följande:
  • CA – nod 1
  • CA – VIP
Om du vill kontrollera om certifikatet används kör du följande API på Postman-plattformen: 
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>

Lokalt hanterarcertifikat är det huvudsakliga identitetscertifikatet som används för att kommunicera med andra platser i federationen.

En NSX-T-federationsmiljö innehåller ett aktivt och vänteläge Global Manager-kluster och ett eller flera Local Manager-kluster.
 
Visar tre platser med aktiva och vänteläge Global Manager-kluster på plats 1 och 2 med Local Manager-kluster på alla tre platserna.
Bild 1: Visar tre platser med aktiva och vänteläge Global Manager-kluster på plats 1 och 2 med Local Manager-kluster på alla tre platserna.


Så här tar du reda på antalet Local Manager-kluster:

För att kontrollera miljön och ta reda på hur många Local Manager-kluster det finns, följ stegen nedan och skärmdumpen:

Från System>Configuration>Location Manager:
  • Högst upp i Local Manager visas vilket kluster du är inloggad på. I det här exemplet är vi inloggade i ett lokalt hanterarkluster.
  • I mitten av sidan visas Global Manager-klustren och vilket kluster som är aktivt och vilket som är vänteläge.
  • Andra Local Manager-kluster visas längst ned under Fjärrplatser.
Klustermiljö för lokal chef
Bild 2: Klustermiljö för lokal chef


Procedur för att ersätta självsignerade certifikat för lokala hanterare:

  1. Logga in på NSX Manager i klustret Local Manager.
  2. Hämta en NSX-T-säkerhetskopia innan du fortsätter. Detta steg är viktigt!
    1. System>Livscykelhantering>Säkerhetskopiering och återställning>Starta säkerhetskopiering
Samla in NSX-T-säkerhetskopiering
Bild 3: Samla in NSX-T-säkerhetskopiering.
  1. Kontrollera certifikaten och utgångsdatumet.
    1. Klicka på Systeminställningar>>Certifikat
I exemplet nedan visas förfallodatumet för certifikat för lokala hanterare i rött:
Utgångsdatum för certifikat för lokala hanterare
Bild 4: Utgångsdatum för certifikat för lokala hanterare

Det finns ett certifikat per Local Manager-kluster oavsett hur många NSX-hanterare som finns i klustret.
  1. Logga in på valfri NSX Manager på Local Manager-kluster 1.
  2. Generera en ny CSR.
    1. Klicka på Systeminställningar>>Certifikat>CSRgenererar CSR>
Generera ny CSR
Bild 5: Generera en ny CSR.
  1. Ange det gemensamma namnet som local-manager.
  2. Ange namnet som LocalManager.
  3. Resten är användarens företags- och platsinformation (detta kan kopieras från ett gammalt utgånget certifikat.)
  4. Klicka på Save.
Ange CSR-namn och ortsinformation
Bild 6: Ange CSR-namn och ortsinformation.
  1. Skapa ett självsignerat certifikat med hjälp av genererad CSR.
    1. Klicka på kryssrutan >Ny CSR Generera CSR-självsigneringscertifikat> för CSR.
Skapa självsignerat certifikat
Bild 7: Skapa ett självsignerat certifikat.
  1. Kontrollera att Servicecertifikatet är inställt på Nej och klicka på Spara.
  2. Gå tillbaka till fliken Certifikat, leta reda på det nya certifikatet och kopiera certifikat-ID.
Kopiera nytt certifikat-ID
Bild 8: Kopiera nytt certifikat-ID
  1. Ersätt huvudidentitetscertifikatet för den lokala chefen.
    1. Användaren för att installera Postman-plattformen.
    2. På fliken Auktorisering väljer du Skriv>grundläggande autentisering.
    3. Ange inloggningsuppgifter för NSX-T Manager.
Ange inloggningsuppgifter för NSX-T Manager
Bild 9: Ange inloggningsuppgifter för NSX-T Manager.
  1. På fliken Rubrikerändrar du "application/xml" till "application/json".
I Postman ändrar du
Bild 10: I Postman ändrar du "application/xml" till "application/json"
  1. På fliken Brödtext väljer du POST API befallning.
    1. Välj Raw och välj sedan JSON.
    2. I rutan bredvid POST anger du URL https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
    3. I ovanstående är URL:en den IP-adress som används för alla NSX-hanterare inom ett specifikt lokalt hanterarkluster.
    4. I brödtextavsnittet anger du nedanstående på två rader som visas på skärmbilden:
{ "cert_id": "<certificate id, copied from step 3>",
"service_type": "LOCAL_MANAGER" }
Ange URL för alla NSX-hanterare i ett specifikt lokalt hanterarkluster
Bild 11: Ange URL för alla NSX Manager i ett specifikt lokalt hanterarkluster.
  1. Klicka på Skicka och se till att du ser resultatet 200 OK.
  1. Upprepa steg 1 till 4 på varje Local Manager-kluster 2 och 3.
När de här stegen är slutförda har du skapat ett nytt certifikat i varje lokalt hanterarkluster och ersatt huvudidentitetscertifikatet i varje lokalt hanterarkluster.

Det är nu dags att ta bort de gamla utgångna certifikaten från vart och ett av de tre Local Manager-klustren.
  1. Kontrollera att certifikatet inte längre används.
    1. Kopiera certifikat-ID
    2. Öppna Postman
    3. Välj GET API i stället för POST.
    4. Ange URL https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id>
    5. Leta efter "used_by" och bekräfta att den har tomma hakparenteser.
    "used_by" : [ ],
    "resource_type" : "certificate_self_signed",
    "id" : "9cd133ca-32fc-48a2-898b-7acd928512a5",
    "display_name" : "local-manager",
    "description" : "",
    "tags" : [ ],
    "_create_user" : "admin",
    "_create_time" : 1677468138846,
    "_last_modified_user" : "admin",
    "_last_modified_time" : 1677468138846,
    "_system_owned" : false,
    "_protection" : "NOT_PROTECTED",
    "_revision" : 0
  }
  1. Gå till Systeminställningar >>Certifikat och välj det certifikat som krävs.
Välj det certifikat som krävs
Bild 12: Välj det certifikat som krävs.
  1. Klicka på Ta bort>Ta bort.
Ta bort certifikat
Bild 13: Ta bort certifikat.
  1. Bekräfta att huvudidentiteten fungerar och använder de nya certifikaten:
    1. Öppna Postman
    2. Välj GET.
    3. Kör URL https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie.
    4. Utdata bör likna nedanstående, "certificate_id" bör visa det nyligen skapade certifikat-ID:t.
Certifikat-ID visar det nya certifikat-ID:t
Bild 14: Certifikat-ID visar det nya certifikat-ID:t.

Additional Information

Ersätta globala hanterarcertifikat:

Om du vill byta ut Global Manager-certifikatet följer du samma process men ändrar "LOCAL_MANAGER" till "GLOBAL_MANAGER" och utför proceduren från Global Manager-klustret.


Andra relaterade artiklar:

Mer information finns i de relaterade Broadcom VMware-artiklarna:

Affected Products

VMWare Cloud on Dell EMC VxRail E560F, VMWare Cloud on Dell EMC VxRail E560N, VxRail Appliance Family, VxRail Appliance Series, VxRail D Series Nodes, VxRail D560, VxRail D560F, VxRail E Series Nodes, VxRail E460, VxRail E560

Products

VxRail G410, VxRail G Series Nodes, VxRail E560 VCF, VxRail E560F, VxRail E560F VCF, VxRail E560N, VxRail E560N VCF, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560, VxRail G560 VCF, VxRail G560F , VxRail G560F VCF, VxRail Gen2 Hardware, VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570 VCF, VxRail P570F, VxRail P570F VCF, VxRail P580N, VxRail P580N VCF, VXRAIL P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S570 VCF, VxRail S670, VxRail Software, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570 VCF, VxRail V570F, VxRail V570F VCF, VXRAIL V670F, VxRail VD-4000R, VxRail VD-4000W, VxRail VD-4000Z, VxRail VD-4510C, VxRail VD-4520C, VxRail VD Series Nodes ...