Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

VxRail의 VCF: VCF 환경에서 NSX-T 로컬 관리자 인증서 교체

Summary: 이 문서는 VCF 관리 페더레이션 환경에서 NSX-T 로컬 관리자 자체 서명 인증서를 교체하는 방법에 대한 가이드입니다. 시스템이 안전하고 규정을 준수하는지 확인합니다.

This article applies to   This article does not apply to 
Check out resources for

Instructions

참고: VCF 관리 NSX-T 페더레이션 환경에 대해서만 이 문서를 따르십시오!


배경:

아래에 설명된 다양한 유형의 NSX-T 인증서가 있습니다.
 
인증서 이름 목적 교체 기본 유효 기간
수코양이 UI 또는 API를 통해 개별 NSX Manager 노드와의 외부 통신에 사용되는 API 인증서입니다. 825일
mp-클러스터 UI 또는 API를 통해 클러스터 VIP를 사용하여 NSX Manager 클러스터와 외부 통신하는 데 사용되는 API 인증서입니다. 825일
로컬 매니저 페더레이션을 위한 플랫폼 주체 ID 인증서입니다. 페더레이션을 사용하지 않는 경우 이 인증서는 사용되지 않습니다. 825일


VCF 솔루션의 경우:

Tomcat 및 mp-cluster는 vCenter에서 VMCA에 의해 서명된 CA 인증서로 대체됩니다. mp-cluster 및 Tomcat 인증서가 여전히 있을 수 있지만 사용되지 않습니다.


VCF를 사용하는 NSX-T Manager:

  • Tomcat - Node1 > 이 사용되지 않음
  • mp-cluster - VIP > 가 사용되지 않음
설치 중에 아래와 같이 교체되었습니다.
  • CA - 노드 1
  • CA - VIP
인증서가 사용 중인지 확인하려면 Postman 플랫폼에서 다음 API를 실행합니다. 
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>

로컬 관리자 인증서는 페더레이션의 다른 사이트와 통신하는 데 사용되는 주체 ID 인증서입니다.

NSX-T 페더레이션 환경에는 활성 및 대기 Global Manager 클러스터와 하나 이상의 Local Manager 클러스터가 포함되어 있습니다.
 
위치 1과 2에 활성 및 대기 글로벌 관리자 클러스터가 있고 세 위치 모두에 로컬 관리자 클러스터가 있는 세 위치를 표시합니다.
그림 1: 위치 1과 2에 활성 및 대기 글로벌 관리자 클러스터가 있고 세 위치 모두에 로컬 관리자 클러스터가 있는 세 위치를 표시합니다.


Local Manager 클러스터 수를 확인하는 방법:

환경을 확인하고 로컬 관리자 클러스터 수를 확인하려면 아래 단계와 스크린샷을 따르십시오.

시스템>구성>위치 관리자에서:
  • Local Manager 상단에는 로그인한 클러스터가 표시됩니다. 이 예에서는 로컬 관리자 클러스터에 로그인했습니다.
  • 페이지 중간에 글로벌 관리자 클러스터가 표시되며 어떤 클러스터가 활성 클러스터이고 어떤 클러스터가 대기 상태인지 알 수 있습니다.
  • 다른 로컬 관리자 클러스터는 원격 사이트 아래 하단에 표시됩니다.
로컬 관리자 클러스터 환경
그림 2: 로컬 관리자 클러스터 환경


로컬 관리자 자체 서명 인증서를 교체하는 절차:

  1. Local Manager 클러스터에서 NSX Manager에 로그인합니다.
  2. 계속하기 전에 NSX-T 백업을 수집합니다. 이 단계가 중요합니다!
    1. 체계>수명주기 관리>백업 및 복원>백업 시작
NSX-T 백업 수집
그림 3: NSX-T 백업을 수집합니다.
  1. 인증서 및 만료 날짜를 확인하십시오.
    1. System>SettingsCertificates> 를 클릭합니다.
아래 예에서는 로컬 관리자 인증서의 만료 날짜를 빨간색으로 보여줍니다.
로컬 관리자 인증서의 만료 날짜
그림 4: 로컬 관리자 인증서의 만료 날짜

클러스터 내에 있는 NSX Manager의 수에 관계없이 Local Manager 클러스터당 하나의 인증서가 있습니다.
  1. Local Manager 클러스터 1의 NSX Manager에 로그인합니다.
  2. 새 CSR을 생성합니다.
    1. System>SettingsCertificatesCSRsGenerate>>CSR을 > 클릭합니다.
새 CSR 생성
그림 5: 새 CSR을 생성합니다.
  1. 일반 이름을 로컬 관리자로 입력합니다.
  2. 이름을 LocalManager로 입력합니다.
  3. 나머지는 사용자 비즈니스 및 위치 세부 정보입니다(만료되는 이전 인증서에서 복사할 수 있음).
  4. Save를 클릭합니다.
CSR 이름 및 지역 정보 입력
그림 6: CSR 이름 및 지역 정보를 입력합니다.
  1. 생성된 CSR을 사용하여 자체 서명 인증서를 생성합니다.
    1. New CSR 확인란을 > 클릭합니다. Generate CSR>Self-Sign Certificate for CSR.
자체 서명 인증서 생성
그림 7: 자체 서명된 인증서를 만듭니다.
  1. Service Certificate가 No 로 설정되어 있는지 확인하고 Save를 클릭합니다.
  2. Certificates 탭으로 돌아가서 New CertificateCopy Certificate ID를 찾습니다.
새 인증서 ID 복사
그림 8: 새 인증서 ID 복사
  1. 로컬 관리자의 주체 ID 인증서를 교체합니다.
    1. 사용자가 Postman 플랫폼을 설치합니다.
    2. Authorization 탭에서 TypeBasic>Auth를 선택합니다.
    3. NSX-T Manager 로그인 세부 정보를 입력합니다.
NSX-T Manager 로그인 세부 정보 입력
그림 9: NSX-T Manager 로그인 세부 정보를 입력합니다.
  1. 헤더 탭에서 "application/xml"을 "application/json"으로 변경합니다.
Postman에서
그림 10: Postman에서 "application/xml"을 "application/json"으로 변경합니다.
  1. 본문 탭에서 POST API 명령을 사용합니다.
    1. 원시를 선택한 다음, JSON을 선택합니다.
    2. POST 옆의 상자에 URL을 입력합니다. https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
    3. 위에서 URL은 특정 Local Manager 클러스터 내의 NSX Manager에 사용되는 IP입니다.
    4. 본문 섹션에서 스크린샷과 같이 아래 내용을 두 줄로 입력합니다.
{ "cert_id": "<certificate id, copied from step 3>",
"service_type": "LOCAL_MANAGER" }
특정 Local Manager 클러스터 내의 NSX Manager에 대한 URL을 입력합니다
그림 11: 특정 Local Manager 클러스터 내에 있는 NSX Manager의 URL을 입력합니다.
  1. Send를 클릭하고 200 OK라는 결과가 표시되는지 확인합니다.
  1. 각 Local Manager 클러스터 2 및 3에서 1-4단계를 반복합니다.
이러한 단계가 완료되면 각 로컬 관리자 클러스터에서 하나의 새 인증서를 생성하고 각 로컬 관리자 클러스터에서 주체 ID 인증서를 교체합니다.

이제 3개의 Local Manager 클러스터 각각에서 만료되는 이전 인증서를 삭제해야 합니다.
  1. 인증서가 더 이상 사용되지 않는지 확인합니다.
    1. 인증서 ID 복사
    2. Postman을 엽니다.
    3. POST 대신 GET API 를 선택합니다.
    4. URL 입력 https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id>
    5. "used_by"를 찾아 빈 대괄호가 있는지 확인합니다.
    "used_by" : [ ],
    "resource_type" : "certificate_self_signed",
    "id" : "9cd133ca-32fc-48a2-898b-7acd928512a5",
    "display_name" : "local-manager",
    "description" : "",
    "tags" : [ ],
    "_create_user" : "admin",
    "_create_time" : 1677468138846,
    "_last_modified_user" : "admin",
    "_last_modified_time" : 1677468138846,
    "_system_owned" : false,
    "_protection" : "NOT_PROTECTED",
    "_revision" : 0
  }
  1. System >SettingsCertificates > 로 이동하여 필요한 인증서를 선택합니다.
필요한 인증서 선택
그림 12: 필요한 인증서를 선택합니다.
  1. DeleteDelete> 를 클릭합니다.
인증서 삭제
그림 13: 인증서를 삭제합니다.
  1. 주체 ID가 작동하고 새 인증서를 사용하는지 확인합니다.
    1. Postman을 엽니다.
    2. GET를 선택합니다.
    3. URL 실행 https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie.
    4. 아래와 유사한 화면이 출력되어야 합니다. "certificate_id"에는 새로 만든 인증서 ID가 표시되어야 합니다.
인증서 ID는 새 인증서 ID를 표시합니다.
그림 14: 인증서 ID는 새 인증서 ID를 표시합니다.

Additional Information

글로벌 관리자 인증서 교체:

글로벌 관리자 인증서를 교체하려면 동일한 프로세스를 수행하되 "LOCAL_MANAGER"를 "GLOBAL_MANAGER"로 변경하고 글로벌 관리자 클러스터에서 절차를 수행합니다.


기타 관련 문서:

자세한 내용은 관련 Broadcom VMware 문서를 참조하십시오.

Affected Products

VMWare Cloud on Dell EMC VxRail E560F, VMWare Cloud on Dell EMC VxRail E560N, VxRail Appliance Family, VxRail Appliance Series, VxRail D Series Nodes, VxRail D560, VxRail D560F, VxRail E Series Nodes, VxRail E460, VxRail E560

Products

VxRail G410, VxRail G Series Nodes, VxRail E560 VCF, VxRail E560F, VxRail E560F VCF, VxRail E560N, VxRail E560N VCF, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560, VxRail G560 VCF, VxRail G560F , VxRail G560F VCF, VxRail Gen2 Hardware, VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570 VCF, VxRail P570F, VxRail P570F VCF, VxRail P580N, VxRail P580N VCF, VXRAIL P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S570 VCF, VxRail S670, VxRail Software, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570 VCF, VxRail V570F, VxRail V570F VCF, VXRAIL V670F, VxRail VD-4000R, VxRail VD-4000W, VxRail VD-4000Z, VxRail VD-4510C, VxRail VD-4520C, VxRail VD Series Nodes ...