Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

VxRail上のVCF:VCF環境でのNSX-T Local-Manager証明書の置き換え

Summary: この記事では、VCF管理フェデレーション環境でNSX-T Local-Manager自己署名証明書を置き換える方法について説明します。システムの安全性とコンプライアンスを確保します。

This article applies to   This article does not apply to 
Check out resources for

Instructions

注:VCFで管理されているNSX-Tフェデレーション環境についてのみ、この記事に従ってください。


背景:

NSX-T証明書には、以下に示すようにさまざまなタイプがあります。
 
証明書名 目的 交換 デフォルトの有効期限
雄猫 これは、UI または API を介した個々の NSX Manager ノードとの外部通信に使用される API 証明書です。 はい 825日間
MPクラスター これは、UIまたはAPIを介して、クラスターVIPを使用したNSX Managerクラスターとの外部通信に使用されるAPI証明書です。 はい 825日間
ローカルマネージャー これは、フェデレーションのプラットフォーム プリンシパルID証明書です。フェデレーションを使用していない場合、この証明書は使用されません。 はい 825日間


VCFソリューションの場合:

Tomcatとmp-clusterは、vCenterからVMCAによって署名されたCA証明書に置き換えられます。mp-clusterとTomcatの証明書がまだ存在していても、使用されていない可能性があります。


VCFを使用したNSX-T Manager:

  • Tomcat - ノード1 > 使用されていません
  • mp-cluster - VIP > が使用されていません
インストール中に以下と交換:
  • CA - ノード1
  • CA - VIP
証明書が使用されているかどうかを確認する場合は、Postman プラットフォームで次の API を実行します。 
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>

ローカル マネージャー証明書は、フェデレーション内の他のサイトと通信するために使用されるプリンシパルID証明書です。

NSX-T フェデレーション環境には、アクティブおよびスタンバイのグローバル マネージャ クラスタと 1 つ以上のローカル マネージャ クラスタが含まれます。
 
場所 1 と 2 にアクティブおよびスタンバイのグローバル マネージャ クラスタがある 3 つの場所と、3 つの場所すべてにローカル マネージャ クラスタがある 3 つの場所を表示します。
図1: 場所 1 と 2 にアクティブおよびスタンバイのグローバル マネージャ クラスタがある 3 つの場所と、3 つの場所すべてにローカル マネージャ クラスタがある 3 つの場所を表示します。


ローカル マネージャー クラスターの数を確認する方法:

環境を確認し、存在するローカル マネージャー クラスターの数を確認するには、次の手順とスクリーンショットに従います。

System >Configuration>Location Manager:
  • ローカルマネージャの上部には、ログインしているクラスタが表示されます。この例では、ローカル マネージャー クラスターにログインしています。
  • ページの中央には、 グローバル マネージャ クラスタと、どのクラスタがアクティブで、どのクラスタがスタンバイかが表示されます。
  • その他のローカル マネージャ クラスタは、 一番下のRemote Sitesに表示されます。
ローカル マネージャーのクラスター環境
図2:ローカル マネージャーのクラスター環境


ローカル マネージャーの自己署名証明書を置き換える手順:

  1. ローカル マネージャ クラスタの NSX Manager にログインします。
  2. 先に進む前に、NSX-Tバックアップを収集してください。このステップは重要です。
    1. システム>ライフサイクル管理>バックアップとリストアの>バックアップの開始
NSX-Tバックアップの収集
図3:NSX-Tバックアップを収集します。
  1. 証明書と有効期限を確認します。
    1. [System>Settings]>[Certificates]をクリックします
次の例は、ローカル マネージャー証明書の有効期限を赤で示しています。
ローカルマネージャ証明書の有効期限
図4:ローカルマネージャ証明書の有効期限

クラスター内のNSX Managerの数に関係なく、ローカル マネージャー クラスターごとに証明書が1つあります。
  1. ローカル マネージャー クラスター1の任意のNSX Managerにログインします。
  2. 新しいCSRを生成します。
    1. [System>Settings] > [Certificates>CSRs] >[Generate CSR] をクリックします。
新しい CSR の生成
図5:新しいCSRを生成します。
  1. 共通名に「local-manager」と入力します。
  2. 名前に「LocalManager」と入力します。
  3. 残りは、ユーザーのビジネスと場所の詳細です (これは、有効期限が切れた古い証明書からコピーできます)。
  4. Save(保存)」をクリックします。
CSR名と地域情報の入力
図6:CSR名と地域情報を入力します。
  1. 生成されたCSRを使用して自己署名証明書を作成します。
    1. CSR>CSRの自己署名証明書の生成>、新規CSRチェック ボックスをクリックします。
自己署名証明書の作成
図7:自己署名証明書を作成します。
  1. [Service Certificate]が [No ]に設定されていることを確認し、[ Save]をクリックします。
  2. [ 証明書 ] タブに戻り、[ 新しい証明書 ] と [証明書 ID のコピー] を見つけます。
新しい証明書IDのコピー
図8:新しい証明書IDのコピー
  1. ローカル マネージャーのプリンシパルID証明書を置き換えます。
    1. Postmanプラットフォームをインストールするユーザー。
    2. [Authorization]タブで、[Type]>[Basic Auth]を選択します。
    3. NSX-T Managerのログインの詳細を入力します。
NSX-T Managerログイン詳細の入力
図9:NSX-T Managerログインの詳細を入力します。
  1. [ ヘッダー ] タブで、 "application/xml" を "application/json" に変更します。
Postmanで、「application/xml」を「application/json」に変更します。
図10:Postman で、"application/xml" を "application/json" に変更します
  1. Bodyタブで、 POST API コマンドを使用します。
    1. [未加工] を選択し、 [JSON] を選択します。
    2. [POST]の横のボックスに「URL」と入力します https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
    3. 上記のURLは、特定のローカル マネージャー クラスター内のNSX Managerに使用されるIPです。
    4. 本文セクションで、スクリーンショットに示すように、以下を2行で入力します。
{ "cert_id": "<certificate id, copied from step 3>",
"service_type": "LOCAL_MANAGER" }
特定のローカル マネージャー クラスター内の任意のNSX ManagerのURLを入力します
図11:特定のローカル マネージャ クラスタ内の任意の NSX Manager の URL を入力します。
  1. [ Send ]をクリックして、 200 OKという結果が表示されていることを確認します。
  1. 各ローカル マネージャー クラスター2および3でステップ1〜4を繰り返します。
これらの手順が完了したら、各ローカル マネージャー クラスターに新しい証明書を1つ作成し、各ローカル マネージャー クラスターのプリンシパルID証明書を置き換えます

次に、3つのローカル マネージャー クラスターのそれぞれから期限切れの古い証明書を削除します。
  1. 証明書が使用されなくなっていることを確認します。
    1. 証明書IDのコピー
    2. Postman を開く
    3. [POST]ではなく [GET API ]を選択します。
    4. URLを入力 https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id>
    5. 「used_by」を探し、空の括弧があることを確認します。
    "used_by" : [ ],
    "resource_type" : "certificate_self_signed",
    "id" : "9cd133ca-32fc-48a2-898b-7acd928512a5",
    "display_name" : "local-manager",
    "description" : "",
    "tags" : [ ],
    "_create_user" : "admin",
    "_create_time" : 1677468138846,
    "_last_modified_user" : "admin",
    "_last_modified_time" : 1677468138846,
    "_system_owned" : false,
    "_protection" : "NOT_PROTECTED",
    "_revision" : 0
  }
  1. System >Settings>Certificatesに移動し、必要な証明書を選択します。
必要な証明書の選択
図12:必要な証明書を選択します。
  1. Delete>Deleteをクリックします。
証明書の削除
図13:証明書を削除します。
  1. プリンシパル ID が機能し、新しい証明書を使用していることを確認します。
    1. Postman を開く
    2. [GET] を選択します。
    3. 実行URL https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie.
    4. 出力は次のようになります。[certificate_id]には、新しく作成された証明書IDが表示されます。
[Certificate ID]には、新しい証明書IDが表示されます
図14:Certificate IDには、新しい証明書IDが表示されます。

Additional Information

グローバル マネージャー証明書の置き換え:

グローバル マネージャ 証明書を置き換えるには、同じプロセスに従いますが、"LOCAL_MANAGER" を "GLOBAL_MANAGER" に変更し、グローバル マネージャ クラスタから手順を実行します。


その他の関連記事:

詳細については、次のBroadcom VMwareの関連記事を参照してください。

Affected Products

VMWare Cloud on Dell EMC VxRail E560F, VMWare Cloud on Dell EMC VxRail E560N, VxRail Appliance Family, VxRail Appliance Series, VxRail D Series Nodes, VxRail D560, VxRail D560F, VxRail E Series Nodes, VxRail E460, VxRail E560

Products

VxRail G410, VxRail G Series Nodes, VxRail E560 VCF, VxRail E560F, VxRail E560F VCF, VxRail E560N, VxRail E560N VCF, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560, VxRail G560 VCF, VxRail G560F , VxRail G560F VCF, VxRail Gen2 Hardware, VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570 VCF, VxRail P570F, VxRail P570F VCF, VxRail P580N, VxRail P580N VCF, VXRAIL P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S570 VCF, VxRail S670, VxRail Software, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570 VCF, VxRail V570F, VxRail V570F VCF, VXRAIL V670F, VxRail VD-4000R, VxRail VD-4000W, VxRail VD-4000Z, VxRail VD-4510C, VxRail VD-4520C, VxRail VD Series Nodes ...