Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

VCF on VxRail: Sostituzione del certificato di NSX-T Local-Manager nell'ambiente VCF

Summary: Questo articolo è una guida alla sostituzione del certificato autofirmato di NSX-T Local-Manager negli ambienti federati gestiti da VCF. Assicurarsi che il sistema sia protetto e conforme. ...

This article applies to   This article does not apply to 
Check out resources for

Instructions

Nota: Seguire questo articolo solo per gli ambienti di federazione NSX-T gestiti da VCF.


Informazioni preliminari:

Esistono diversi tipi di certificati NSX-T, come descritto di seguito:
 
Nome certificato Scopo Sostituibile Validità predefinita
Gatto Si tratta di un certificato API utilizzato per la comunicazione esterna con singoli nodi NSX Manager tramite l'interfaccia utente o l'API. 825 giorni
Cluster MP Si tratta di un certificato API utilizzato per la comunicazione esterna con il cluster NSX Manager utilizzando il VIP del cluster, tramite l'interfaccia utente o l'API. 825 giorni
LocalManager Si tratta di un certificato di identità dell'entità piattaforma per la federazione. Se non si utilizza la Federazione, questo certificato non viene utilizzato. 825 giorni


Per le soluzioni VCF:

Tomcat e mp-cluster vengono sostituiti con certificati CA firmati da VMCA da vCenter. I certificati mp-cluster e Tomcat potrebbero essere ancora presenti, ma non vengono utilizzati.


NSX-T Manager con VCF:

  • Tomcat - Nodo 1 > non utilizzato
  • mp-cluster - VIP > non utilizzato
Sostituita durante l'installazione con le seguenti:
  • CA - Nodo 1
  • CA - VIP
Se si desidera verificare se il certificato è in uso, eseguire la seguente API sulla piattaforma Postman: 
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>

Il certificato local-manager è il certificato di identità dell'entità utente utilizzato per comunicare con altri siti della federazione.

Un'ambiente NSX-T Federation contiene un cluster Global Manager attivo e uno in standby e uno o più cluster Local Manager.
 
Mostra tre posizioni con cluster Global Manager attivi e in standby nelle posizioni 1 e 2 con cluster Local Manager in tutte e tre le posizioni.
Figura 1. Mostra tre posizioni con cluster Global Manager attivi e in standby nelle posizioni 1 e 2 con cluster Local Manager in tutte e tre le posizioni.


Come determinare il numero di cluster di Local Manager:

Per controllare l'ambiente e scoprire il numero di cluster di Local Manager, attenersi alla seguente procedura e screenshot:

Da System>Configuration>Location Manager:
  • Nella parte superiore di Local Manager, viene visualizzato il cluster a cui è stato effettuato l'accesso. In questo esempio è stato eseguito l'accesso a un cluster Local Manager.
  • Al centro della pagina vengono visualizzati i cluster Global Manager, il cluster attivo e quello in standby.
  • Gli altri cluster di Local Manager vengono visualizzati in basso in Remote Sites.
Ambiente cluster di Local Manager
Figura 2. Ambiente cluster di Local Manager


Procedura per sostituire i certificati autofirmati del gestore locale:

  1. Accedere a NSX Manager nel cluster Local Manager.
  2. Raccogliere un backup NSX-T prima di procedere. Questo passaggio è importante!
    1. Sistema> Gestione >del ciclo di vitaBackup e ripristino>Avvia backup
Raccolta del backup NSX-T
Figura 3. Raccogliere il backup NSX-T.
  1. Controllare i certificati e la data di scadenza.
    1. Cliccare su System>Settings>Certificates
L'esempio riportato di seguito mostra in rosso la data di scadenza dei certificati del gestore locale:
Data di scadenza dei certificati di local-manager
Figura 4. Data di scadenza dei certificati di local-manager

Esiste un certificato per cluster Local Manager indipendentemente dal numero di NSX Manager presenti all'interno del cluster.
  1. Accedere a qualsiasi NSX Manager sul cluster Local Manager 1.
  2. Generare una nuova CSR.
    1. Cliccare su System>Settings>Certificates>CSRs>Generate CSR
Genera nuova CSR
Figura 5. Generare una nuova CSR.
  1. Immettere il Nome comune come local-manager.
  2. Immettere il nome come LocalManager.
  3. Il resto sono dettagli sull'attività e sulla posizione dell'utente (possono essere copiati da un vecchio certificato in scadenza).
  4. Cliccare su Save.
Inserire i nomi CSR e le informazioni sulla località
Figura 6. Immettere i nomi CSR e le informazioni sulla località.
  1. Creare un certificato autofirmato utilizzando la CSR generata.
    1. Cliccare sulla casella >di controllo New CSRGenerate CSR>Self-Sign Certificate for CSR.
Crea certificato autofirmato
Figura 7. Creare un certificato autofirmato.
  1. Assicurarsi che Service Certificate sia impostato su No e cliccare su Save.
  2. Tornare alla scheda Certificates, individuare New Certificate e Copy Certificate ID.
Copia nuovo ID certificato
Figura 8. Copia nuovo ID certificato
  1. Sostituire il certificato di identità dell'entità utente per Local Manager.
    1. Utente per installare la piattaforma Postman.
    2. Nella scheda Authorization , selezionare Type>Basic Auth.
    3. Inserire i dati di accesso a NSX-T Manager.
Inserire i dati di accesso a NSX-T Manager
Figura 9. Inserire i dati di accesso a NSX-T Manager.
  1. Nella scheda Headers, modificare "application/xml" in "application/json".
In Postman cambia
Figura 10. In Postman, modificare "application/xml" in "application/json"
  1. Nella scheda Body , selezionare l'icona POST API .
    1. Selezionare Raw e quindi JSON.
    2. Nella casella accanto a POST, inserisci URL https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
    3. In precedenza, l'URL è l'IP utilizzato per qualsiasi NSX Manager all'interno di uno specifico cluster di Local Manager.
    4. Nella sezione del corpo , inserisci quanto segue in due righe, come mostrato nella schermata:
{ "cert_id": "<certificate id, copied from step 3>",
"service_type": "LOCAL_MANAGER" }
Immettere l'URL di qualsiasi NSX Manager all'interno di uno specifico cluster di Local Manager
Figura 11. Immettere l'URL di qualsiasi NSX Manager all'interno di uno specifico cluster di Local Manager.
  1. Fare clic su Invia e assicurarsi di visualizzare il risultato 200 OK.
  1. Ripetere i passaggi da 1 a 4 su ogni cluster 2 e 3 di Local Manager.
Una volta completati questi passaggi, è stato creato un nuovo certificato in ogni cluster di Local Manager e sostituito il certificato di identità principale in ogni cluster di Local Manager.

Ora è il momento di eliminare i vecchi certificati in scadenza da ciascuno dei tre cluster di Local Manager.
  1. Verificare che il certificato non sia più in uso.
    1. Copia ID certificato
    2. Aprire Postman
    3. Selezionare GET API anziché POST.
    4. Inserisci URL https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id>
    5. Cercare "used_by" e verificare che le parentesi quadre siano vuote.
    "used_by" : [ ],
    "resource_type" : "certificate_self_signed",
    "id" : "9cd133ca-32fc-48a2-898b-7acd928512a5",
    "display_name" : "local-manager",
    "description" : "",
    "tags" : [ ],
    "_create_user" : "admin",
    "_create_time" : 1677468138846,
    "_last_modified_user" : "admin",
    "_last_modified_time" : 1677468138846,
    "_system_owned" : false,
    "_protection" : "NOT_PROTECTED",
    "_revision" : 0
  }
  1. Passare a System >Settings >Certificates e selezionare il certificato richiesto.
Selezionare il certificato richiesto
Figura 12. Selezionare il certificato richiesto.
  1. Cliccare su Delete> Delete.
Elimina certificato
Figura 13. Eliminare il certificato.
  1. Verificare che l'identità dell'entità funzioni e utilizzi i nuovi certificati:
    1. Aprire Postman
    2. Selezionare GET.
    3. Esegui URL https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie.
    4. L'output deve essere simile al seguente, "certificate_id" dovrebbe mostrare l'ID del certificato appena creato.
ID certificato Mostra il nuovo ID certificato
Figura 14: Certificate ID mostra il nuovo ID certificato.

Additional Information

Sostituzione dei certificati del Global Manager:

Per sostituire il certificato Global Manager, seguire la stessa procedura ma modificare "LOCAL_MANAGER" in "GLOBAL_MANAGER" ed eseguire la procedura dal Global Manager Cluster.


Altri articoli correlati:

Per ulteriori informazioni, consultare i seguenti articoli di Broadcom VMware:

Affected Products

VMWare Cloud on Dell EMC VxRail E560F, VMWare Cloud on Dell EMC VxRail E560N, VxRail Appliance Family, VxRail Appliance Series, VxRail D Series Nodes, VxRail D560, VxRail D560F, VxRail E Series Nodes, VxRail E460, VxRail E560

Products

VxRail G410, VxRail G Series Nodes, VxRail E560 VCF, VxRail E560F, VxRail E560F VCF, VxRail E560N, VxRail E560N VCF, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560, VxRail G560 VCF, VxRail G560F , VxRail G560F VCF, VxRail Gen2 Hardware, VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570 VCF, VxRail P570F, VxRail P570F VCF, VxRail P580N, VxRail P580N VCF, VXRAIL P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S570 VCF, VxRail S670, VxRail Software, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570 VCF, VxRail V570F, VxRail V570F VCF, VXRAIL V670F, VxRail VD-4000R, VxRail VD-4000W, VxRail VD-4000Z, VxRail VD-4510C, VxRail VD-4520C, VxRail VD Series Nodes ...