注意:針對 VCF 管理的 NSX-T 聯合環境,請僅遵循此知識文章。
背景:
我們有不同類型的 NSX-T 憑證。
憑證名稱 |
用途 |
可更換 |
預設效期 |
雄貓 |
這是用於透過 UI 或 API 與個別 NSX Manager 節點進行外部通訊的 API 憑證。 |
是 |
825天 |
MP-叢集 |
這是透過 UI 或 API 使用叢集 VIP 與 NSX Manager 叢集進行外部通訊的 API 憑證。 |
是 |
825天 |
本機管理員 |
這是聯合身份驗證的平台主體標識證書。如果不使用聯合身份驗證,則不會使用此證書。 |
是 |
825天 |
針對 VCF 解決方案:
Tomcat 和 mp-cluster 會由 VMCA 從 vCenter 簽署的 CA 憑證取代。mp-cluster 和 Tomcat 憑證可能仍存在,但並未被使用。
含 VCF 的 NSX-T Manager:
- Tomcat - 未使用 Node1 >
- mp-cluster - 未使用 VIP >
在顯示期間更換為以下內容:
如果您想要查看憑證是否正在使用中,請在 Postman 平台上使用下列 API:
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>
本地管理員證書是用於與聯合中的其他網站通信的主體標識證書。
NSX-T 聯合環境包含一個活動和備用全域管理器集群以及一個或多個本地管理器集群。
圖 1:顯示位置 1 和位置 2 中具有活動和備用全域管理器群集的三個位置,以及所有三個位置中的本地管理器群集。
若要檢查環境並找出有多少個本機管理員叢集,請依照下列步驟和螢幕擷取畫面:
系統 >
組態>
位置管理r
- 在本地管理員的頂部,它會顯示您登錄的集群。在此範例中,我們登錄到本地管理器群集。
- 在頁面中間,它會顯示全域管理器群集,以及哪個群集處於活動狀態,哪個群集處於備用狀態。
- 其他本地管理器群集位於底部的「遠端網站」 下。
圖 2:本機管理員叢集環境
更換本機管理員自我簽署憑證程序:
- 登入本機管理員叢集中的 NSX 管理員。
- 先收集 NSX-T 備份後再繼續。這一步 非常重要。
- 系統 >生命週期管理>備份與還原>開始備份
圖 3:收集 NSX-T 備份
- 檢查憑證與到期日期。
- 按一下 系統 >設定>憑證
以下範例以紅色顯示本機管理員憑證的到期日。
圖 4:本機管理員憑證即將到期
無論集群中有多少 NSX 管理器,每個本地管理器集群都有一個證書。
- 步驟 1:登入本機管理員叢集 1 上的任何 NSX 管理員。
- 步驟 2:產生新的 CSR。
- 按一下 系統 >設定>憑證>CSR>產生 CSR
圖 5:產生新的 CSR
-
輸入 通用名稱 作為 local-manager。
-
輸入 名稱 作為 LocalManager。
-
剩下的就是使用者業務和位置詳細資料 (可以從舊的到期憑證複製。)
-
按一下儲存。
圖 6:輸入 CSR 名稱和位置資訊。
- 步驟 3:使用產生的 CSR 建立自我簽署憑證。
-
按一下新增 CSR 核取方塊>產生 CSR 的 CSR>自我簽署憑證。
![建立自我簽署認證](https://supportkb.dell.com/img/ka06P000000YXyoQAG/ka06P000000YXyoQAG_zh_TW_7.png)
圖 7:建立自我簽署認證
- 確定服務憑證設為「否」,然後按一下 「儲存」。
- 返回 憑證 標籤,找到 新憑證 並 複製憑證 ID。
圖 8:複製新憑證 ID
- 步驟 4:替換本地管理員的主體身份證書。
- 使用者安裝郵遞員平臺。
- 在 “授權 ”選項卡中,選擇 “鍵入 >基本身份驗證”。
- 輸入 NSX-T Manager 登入詳細資料。
圖 9:輸入 NSX-T Manager 登入詳細資料
- 在 「標頭 」標籤中, 將「application/xml」變更為「application/json」。
圖 10:在 Postman 中,將「application/xml」變更為「application/json」
- 在 「正文 」標籤中,選取 POST API 命令。
- 選取 原始,然後選取 JSON。
- 在 POST 旁的方塊中,輸入 URL https://< nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
- 在以上內容中,URL 是特定本機管理員叢集中任何 NSX 管理員所使用的 IP。
- 在 「body 」區段中,以兩行的格式輸入以下內容,如螢幕截圖所示:
{ "cert_id": "<certificate id, copied from step 3>",
"service_type": "LOCAL_MANAGER" }
圖 11:輸入特定本地管理器集群中任何 NSX 管理器的 URL。
- 按一下傳送,並確定您看到結果 200 OK。
- 步驟 5:在每個本地管理器群集 2 和 3 上重複步驟 1 > 、4。
完成這些步驟后,您在每個本地管理器集群上創建了一個新證書,並替換了每個本地管理器集群上的主體身份證書。
現在可以從三個本地管理器群集中刪除舊的過期證書了。
-
檢查憑證是否已停止使用。
-
複製 憑證 ID
-
開啟 郵遞員
-
選取 取得 API 而非 POST。
-
輸入 URL https://< nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id>
-
尋找「used_by」並確認其有空括弧。
"used_by" : [ ],
"resource_type" : "certificate_self_signed",
"id" : "9cd133ca-32fc-48a2-898b-7acd928512a5",
"display_name" : "local-manager",
"description" : "",
"tags" : [ ],
"_create_user" : "admin",
"_create_time" : 1677468138846,
"_last_modified_user" : "admin",
"_last_modified_time" : 1677468138846,
"_system_owned" : false,
"_protection" : "NOT_PROTECTED",
"_revision" : 0
}
- 前往 系統 >設定 >憑證, > 選取所需的憑證。
![選取所需的憑證](https://supportkb.dell.com/img/ka06P000000YXyoQAG/ka06P000000YXyoQAG_zh_TW_4.jpeg)
圖 12:選取所需的憑證。
- 按一下刪除>刪除。
圖 13:刪除憑證
- 若要確認主體身分正常運作,以及使用新憑證:
-
開啟 郵遞員
-
選取 GET“。
-
執行 URL https://< nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie。
-
輸出應類似以下內容,「certificate_id」應顯示新建立的憑證 ID。
圖 14:憑證 ID 顯示新的憑證 ID
若要更換全域管理員憑證,請依照相同的程序,但將「LOCAL_MANAGER」變更為「GLOBAL_MANAGER」,然後從全域管理員叢集執行程序。
如需詳細資訊,請參閱 VMware 文件: