Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

VCF på VxRail: Udskift NSX-T Local-Manager-certifikat i VCF-miljø

Summary: Denne artikel er en vejledning i udskiftning af NSX-T Local-Manager-selvsigneret certifikat i VCF-administrerede sammenslutningsmiljøer. Sørg for, at dit system forbliver sikkert og kompatibelt. ...

This article applies to   This article does not apply to 
Check out resources for

Instructions

Bemærk: Følg kun denne artikel for VCF-administrerede NSX-T-føderationsmiljøer!


Baggrund:

Der findes forskellige typer NSX-T-certifikater som beskrevet nedenfor:
 
Certifikatnavn Formål Udskiftelige Standardgyldighed
Tomcat Dette er et API-certifikat, der bruges til ekstern kommunikation med individuelle NSX Manager-noder via brugergrænseflade eller API. Ja 825 DAGE
MP-klynge Dette er et API-certifikat, der bruges til ekstern kommunikation med NSX Manager-klyngen ved hjælp af klyngens VIP, via brugergrænseflade eller API. Ja 825 DAGE
Lokalmanager Dette er en platform Principal Identity certifikat for føderationen. Hvis du ikke bruger Federation, bruges dette certifikat ikke. Ja 825 DAGE


For VCF-løsninger:

Tomcat og mp-klyngen erstattes med CA-certifikater, der er signeret af VMCA fra vCenter. Mp-cluster- og Tomcat-certifikaterne er muligvis stadig der, men de bruges ikke.


NSX-T Manager med VCF:

  • Tomcat - Node1 > bruges ikke
  • mp-cluster - VIP > bliver ikke brugt
Udskiftes under installationen med følgende:
  • CA – Node1
  • CA – VIP
Hvis du vil kontrollere, om certifikatet bruges, skal du køre følgende API på Postman-platformen: 
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>

Local-manager certifikat er det primære identitetscertifikat, der bruges til at kommunikere med andre steder i føderationen.

Et NSX-T Federation-miljø indeholder en aktiv og en standby Global Manager-klynge og en eller flere Local Manager-klynger.
 
Viser tre placeringer med aktive og standby Global Manager-klynger på lokation 1 og 2 med Local Manager-klynger på alle tre lokationer.
Figur 1: Viser tre placeringer med aktive og standby Global Manager-klynger på lokation 1 og 2 med Local Manager-klynger på alle tre lokationer.


Sådan konstateres antallet af Local Manager-klynger:

Hvis du vil kontrollere miljøet og finde ud af, hvor mange Local Manager-klynger der er, skal du følge nedenstående trin og skærmbillede:

Fra System>Configuration>Location Manager:
  • Øverst i Local Manager kan du se, hvilken klynge du er logget på. I dette eksempel er vi logget på en Local Manager-klynge.
  • Midt på siden vises Global Manager-klyngerne, og hvilken klynge der er aktiv, og hvilken der er standby.
  • Andre Local Manager-klynger kan ses nederst under Fjernwebsteder.
Local Manager-klyngemiljø
Figur 2: Local Manager-klyngemiljø


Procedure for udskiftning af selvsignerede certifikater for lokal administrator:

  1. Log på NSX Manager i Local Manager-klyngen.
  2. Indsaml en NSX-T-sikkerhedskopi, før du fortsætter. Dette trin er vigtigt!
    1. System>Livscyklusadministration>Sikkerhedskopiering og gendannelse>Start sikkerhedskopiering
Indsaml NSX-T-sikkerhedskopi
Figur 3: Indsaml NSX-T-sikkerhedskopi.
  1. Kontroller certifikaterne og udløbsdatoen.
    1. Klik på Systemindstillingscertifikater>>
Eksemplet nedenfor viser udløbsdatoen for lokalledercertifikater med rødt:
Udløbsdato for lokalledercertifikater
Figur 4: Udløbsdato for lokalledercertifikater

Der er ét certifikat pr. Local Manager-klynge, uanset antallet af NSX-managere i klyngen.
  1. Log på en NSX Manager på Local Manager-klynge 1.
  2. Generer en ny CSR.
    1. Klik på Systemindstillinger>>Certifikater>CSR'er Generer>CSR
Generer ny CSR
Figur 5: Generer en ny CSR.
  1. Indtast Common Name som local-manager.
  2. Indtast navnet som LocalManager.
  3. Resten er bruger-, forretnings- og placeringsoplysninger (Dette kan kopieres fra et gammelt certifikat, der er ved at udløbe.)
  4. Klik på Gem.
Indtast CSR-navne og lokalitetsoplysninger
Figur 6: Indtast CSR-navne og lokalitetsoplysninger.
  1. Opret et selvsigneret certifikat ved hjælp af den genererede CSR.
    1. Markér afkrydsningsfeltet >Ny CSRGenerer CSR-selvsigneringscertifikat > til CSR.
Opret selvsigneret certifikat
Figur 7: Opret et selvsigneret certifikat.
  1. Sørg for, at servicecertifikatet er indstillet til Nej , og klik på Gem.
  2. Gå tilbage til fanen Certifikater , find det nye certifikat , og kopier certifikat-id'et.
Kopiér nyt certifikat-id
Figur 8: Kopiér nyt certifikat-id
  1. Udskift den lokale leders primære identitetscertifikat.
    1. Bruger til at installere Postman-platformen.
    2. Under fanen Autorisation skal du vælge Type>Grundlæggende godkendelse.
    3. Indtast loginoplysninger til NSX-T Manager.
Indtast loginoplysninger for NSX-T Manager
Figur 9: Indtast loginoplysninger for NSX-T Manager.
  1. Under fanen Overskrifterskal du ændre "application/xml" til "application/json".
I Postman Skift
Figur 10: I Postman skal du ændre "application / xml" til "application / json"
  1. På fanen Brødtekst skal du vælge ikonet POST API kommando.
    1. Vælg Raw, og vælg derefter JSON.
    2. I feltet ud for POST skal du indtaste URL https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
    3. I ovenstående er URL'en den IP, der bruges til enhver NSX-manager inden for en bestemt Local Manager Cluster.
    4. I brødteksten skal du indtaste nedenstående i to linjer som vist på skærmbilledet:
{ "cert_id": "<certificate id, copied from step 3>",
"service_type": "LOCAL_MANAGER" }
Indtast URL-adresse for enhver NSX Manager i en specifik Local Manager-klynge
Figur 11: Indtast URL-adresse for enhver NSX-manager i en bestemt Local Manager-klynge.
  1. Klik på Send, og sørg for, at du ser resultatet 200 OK.
  1. Gentag trin 1 til 4 på hver lokallederklynge 2 og 3.
Når disse trin er fuldført, har du oprettet et nyt certifikat for hver Local Manager-klynge og erstattet det primære identitetscertifikat for hver Local Manager-klynge.

Det er nu tid til at slette de gamle certifikater, der udløber, fra hver af de tre Local Manager-klynger.
  1. Kontroller, at certifikatet ikke længere er i brug.
    1. Kopier certifikat-id
    2. Åbent postbud
    3. Vælg HENT API i stedet for POST.
    4. Indtast URL-adresse https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id>
    5. Se efter "used_by", og bekræft, at den har tomme parenteser.
    "used_by" : [ ],
    "resource_type" : "certificate_self_signed",
    "id" : "9cd133ca-32fc-48a2-898b-7acd928512a5",
    "display_name" : "local-manager",
    "description" : "",
    "tags" : [ ],
    "_create_user" : "admin",
    "_create_time" : 1677468138846,
    "_last_modified_user" : "admin",
    "_last_modified_time" : 1677468138846,
    "_system_owned" : false,
    "_protection" : "NOT_PROTECTED",
    "_revision" : 0
  }
  1. Gå til Certifikater for systemindstillinger >>, og vælg det ønskede certifikat.
Vælg det påkrævede certifikat
Figur 12: Vælg det ønskede certifikat.
  1. Klik på Slet>slet.
Slet certifikat
Figur 13: Slet certifikat.
  1. Bekræft, at hovedidentiteten fungerer, og brug af de nye certifikater:
    1. Åbent postbud
    2. Vælg GET.
    3. Kør URL https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie.
    4. Outputtet skal svare til nedenstående, "certificate_id" skal vise det nyoprettede certifikat-id.
Certifikat-id viser det nye certifikat-id
Figur 14: Certifikat-id viser det nye certifikat-id.

Additional Information

Udskiftning af Global-manager-certifikater:

Hvis du vil erstatte Global Manager-certifikatet, skal du følge den samme proces, men ændre "LOCAL_MANAGER" til "GLOBAL_MANAGER" og udføre proceduren fra Global Manager-klyngen.


Andre relaterede artikler:

Se disse relaterede Broadcom VMware-artikler for at få flere oplysninger:

Affected Products

VMWare Cloud on Dell EMC VxRail E560F, VMWare Cloud on Dell EMC VxRail E560N, VxRail Appliance Family, VxRail Appliance Series, VxRail D Series Nodes, VxRail D560, VxRail D560F, VxRail E Series Nodes, VxRail E460, VxRail E560

Products

VxRail G410, VxRail G Series Nodes, VxRail E560 VCF, VxRail E560F, VxRail E560F VCF, VxRail E560N, VxRail E560N VCF, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560, VxRail G560 VCF, VxRail G560F , VxRail G560F VCF, VxRail Gen2 Hardware, VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570 VCF, VxRail P570F, VxRail P570F VCF, VxRail P580N, VxRail P580N VCF, VXRAIL P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S570 VCF, VxRail S670, VxRail Software, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570 VCF, VxRail V570F, VxRail V570F VCF, VXRAIL V670F, VxRail VD-4000R, VxRail VD-4000W, VxRail VD-4000Z, VxRail VD-4510C, VxRail VD-4520C, VxRail VD Series Nodes ...