Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

VCF op VxRail: NSX-T local-manager-certificaat vervangen in VCF-omgeving

Summary: Dit artikel is een handleiding voor het vervangen van het zelfondertekende NSX-T Local-Manager-certificaat in door VCF beheerde federatieomgevingen. Zorg ervoor dat uw systeem veilig en compatibel blijft. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Opmerking: Volg dit artikel alleen voor door VCF beheerde NSX-T federatieomgevingen!


Achtergrond:

Er zijn verschillende soorten NSX-T-certificaten, zoals hieronder beschreven:
 
Certificaatnaam Doel Vervangbaar Default Validity
Kater Dit is een API-certificaat dat wordt gebruikt voor externe communicatie met afzonderlijke NSX Manager-knooppunten via UI of API. Ja 825 dagen
mp-cluster Dit is een API-certificaat dat wordt gebruikt voor externe communicatie met het NSX Manager cluster met behulp van het cluster VIP, via de gebruikersinterface of API. Ja 825 dagen
LocalManager Dit is een platform Principal Identity-certificaat voor de Federatie. Als u geen federatie gebruikt, wordt dit certificaat niet gebruikt. Ja 825 dagen


Voor VCF-oplossingen:

De Tomcat en het mp-cluster worden vervangen door CA-certificaten die zijn ondertekend door VMCA van vCenter. De mp-cluster en Tomcat certificaten kunnen er nog zijn, maar ze worden niet gebruikt.


NSX-T Manager met VCF:

  • Tomcat - Node1 > wordt niet gebruikt
  • mp-cluster - VIP > wordt niet gebruikt
Tijdens de installatie vervangen door het onderstaande:
  • CA - Knooppunt1
  • CA - VIP
Als u wilt controleren of het certificaat wordt gebruikt, voert u de volgende API uit op het Postman-platform: 
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>

Het local-manager-certificaat is het primaire identiteitscertificaat dat wordt gebruikt om te communiceren met andere sites in de Federatie.

Een NSX-T Federation-omgeving bevat een actief en een stand-by Global Manager-cluster en een of meer Local Manager-clusters.
 
Toont drie locaties met actieve en stand-by Global Manager-clusters op locaties 1 en 2 met Local Manager-clusters op alle drie de locaties.
Afbeelding 1: Toont drie locaties met actieve en stand-by Global Manager-clusters op locaties 1 en 2 met Local Manager-clusters op alle drie de locaties.


Het aantal Local Manager Clusters bepalen:

Als u de omgeving wilt controleren en wilt weten hoeveel Local Manager-clusters er zijn, volgt u de onderstaande stappen en schermafbeelding:

Van System>Configuration>Location Manager:
  • Bovenin de Local Manager zie je op welk cluster je bent ingelogd. In dit voorbeeld zijn we aangemeld bij een Local Manager Cluster.
  • In het midden van de pagina worden de Global Manager-clusters weergegeven en welk cluster actief is en welk cluster stand-by is.
  • Andere Local Manager Clusters zijn onderaan te zien onder Remote Sites.
Lokale manager clusteromgeving
Afbeelding 2: Lokale manager clusteromgeving


Procedure voor het vervangen van zelfondertekende certificaten van de lokale manager:

  1. Meld u aan bij NSX Manager in het Local Manager Cluster.
  2. Verzamel een NSX-T-back-up voordat u verdergaat. Deze stap is belangrijk!
    1. Systeem> Beheer >van de levenscyclusBack-up en herstel>Back-up starten
Collect NSX-T Backup
Afbeelding 3: Verzamel NSX-T back-up.
  1. Controleer de certificaten en de vervaldatum.
    1. Klik op Certificatenvoor systeeminstellingen>>
In het onderstaande voorbeeld wordt in rood de vervaldatum van local-manager-certificaten weergegeven:
Verloopdatum van certificaten van lokale managers
Afbeelding 4: Verloopdatum van certificaten van lokale managers

Er is één certificaat per Local Manager-cluster, ongeacht het aantal NSX-managers binnen het cluster.
  1. Meld u aan bij een NSX Manager op Local Manager cluster 1.
  2. Genereer een nieuwe CSR.
    1. Klik op Systeeminstellingen>>Certificaten>CSR's>Genereer CSR
Genereer nieuwe CSR
Afbeelding 5: Genereer een nieuwe CSR.
  1. Voer de algemene naam in als local-manager.
  2. Voer de Name in als LocalManager.
  3. De rest zijn bedrijfs- en locatiegegevens van de gebruiker (dit kan worden gekopieerd van een oud certificaat dat verloopt ).
  4. Klik op Opslaan.
Voer CSR-namen en plaatsgegevens in
Afbeelding 6: Voer CSR-namen en plaatsgegevens in.
  1. Maak een zelfondertekend certificaat met behulp van de gegenereerde CSR.
    1. Klik op het selectievakje >Nieuwe CSRGenereer CSR>Self-Sign Certificate for CSR.
Create Self-Signed Certificate
Afbeelding 7: Maak een zelfondertekend certificaat.
  1. Zorg ervoor dat het servicecertificaat is ingesteld op Nee en klik op Opslaan.
  2. Ga terug naar het tabblad Certificaten, zoek het nieuwe certificaat en kopieer de certificaat-id.
Nieuw certificaat-ID kopiëren
Afbeelding 8: Nieuw certificaat-ID kopiëren
  1. Vervang het primaire identiteitscertificaat voor de Local Manager.
    1. Gebruiker om het Postman-platform te installeren.
    2. Selecteer op het tabblad Autorisatie de optie Type>basisverificatie.
    3. Voer de aanmeldingsgegevens van NSX-T Manager in.
Voer de aanmeldingsgegevens van NSX-T Manager in
Afbeelding 9: Voer de aanmeldingsgegevens van NSX-T Manager in.
  1. Wijzig op het tabblad Headers"application/xml" in "application/json".
Wijzig in Postman
Afbeelding 10: Wijzig in Postman "application/xml" in "application/json"
  1. Selecteer op het tabblad Body het pictogram POST API bevelen.
    1. Selecteer Raw en selecteer vervolgens JSON.
    2. Voer in het vak naast POST de URL in https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
    3. In het bovenstaande is de URL het IP-adres dat wordt gebruikt voor elke NSX-manager binnen een specifiek Local Manager Cluster.
    4. Voer in het gedeelte met de hoofdtekst het onderstaande in twee regels in, zoals te zien is in de schermafbeelding:
{ "cert_id": "<certificate id, copied from step 3>",
"service_type": "LOCAL_MANAGER" }
Voer de URL in voor een NSX-manager binnen een specifiek lokaal managercluster
Afbeelding 11: Voer de URL in voor elke NSX-manager binnen een specifiek lokaal managercluster.
  1. Klik op Verzenden en zorg ervoor dat u het resultaat 200 OK ziet.
  1. Herhaal stap 1 tot en met 4 op Local Manager Cluster 2 en 3.
Zodra deze stappen zijn voltooid, hebt u één nieuw certificaat gemaakt op elk Local Manager Cluster en het belangrijkste identiteitscertificaat vervangen op elk Local Manager Cluster.

Het is nu tijd om de oude verlopende certificaten uit elk van de drie Local Manager-clusters te verwijderen.
  1. Controleer of het certificaat niet meer in gebruik is.
    1. Certificaat-ID kopiëren
    2. Postbode openen
    3. Selecteer GET API in plaats van POST.
    4. Voer URL in https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id>
    5. Zoek naar "used_by" en controleer of er lege haakjes staan.
    "used_by" : [ ],
    "resource_type" : "certificate_self_signed",
    "id" : "9cd133ca-32fc-48a2-898b-7acd928512a5",
    "display_name" : "local-manager",
    "description" : "",
    "tags" : [ ],
    "_create_user" : "admin",
    "_create_time" : 1677468138846,
    "_last_modified_user" : "admin",
    "_last_modified_time" : 1677468138846,
    "_system_owned" : false,
    "_protection" : "NOT_PROTECTED",
    "_revision" : 0
  }
  1. Ga naar Certificaten voor systeeminstellingen >> en selecteer het vereiste certificaat.
Selecteer het vereiste certificaat
Afbeelding 12: Selecteer het vereiste certificaat.
  1. Klik op Verwijderen>, Verwijderen.
Certificaat verwijderen
Afbeelding 13: Certificaat verwijderen.
  1. Controleer of de Principal Identity werkt en de nieuwe certificaten gebruikt:
    1. Postbode openen
    2. Selecteer GET.
    3. Uitvoerings-URL https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie.
    4. De uitvoer moet vergelijkbaar zijn met het onderstaande, certificate_id moet de zojuist gemaakte certificaat-ID weergeven.
Certificaat-ID toont de nieuwe certificaat-ID
Afbeelding 14: Certificaat-ID toont de nieuwe certificaat-ID.

Additional Information

Global-Manager certificaten vervangen:

Volg hetzelfde proces om het Global Manager-certificaat te vervangen, maar verander "LOCAL_MANAGER" in "GLOBAL_MANAGER" en voer de procedure uit vanuit het Global Manager-cluster.


Andere gerelateerde artikelen:

Zie deze gerelateerde Broadcom VMware-artikelen voor meer informatie:

Affected Products

VMWare Cloud on Dell EMC VxRail E560F, VMWare Cloud on Dell EMC VxRail E560N, VxRail Appliance Family, VxRail Appliance Series, VxRail D Series Nodes, VxRail D560, VxRail D560F, VxRail E Series Nodes, VxRail E460, VxRail E560

Products

VxRail G410, VxRail G Series Nodes, VxRail E560 VCF, VxRail E560F, VxRail E560F VCF, VxRail E560N, VxRail E560N VCF, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560, VxRail G560 VCF, VxRail G560F , VxRail G560F VCF, VxRail Gen2 Hardware, VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570 VCF, VxRail P570F, VxRail P570F VCF, VxRail P580N, VxRail P580N VCF, VXRAIL P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S570 VCF, VxRail S670, VxRail Software, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570 VCF, VxRail V570F, VxRail V570F VCF, VXRAIL V670F, VxRail VD-4000R, VxRail VD-4000W, VxRail VD-4000Z, VxRail VD-4510C, VxRail VD-4520C, VxRail VD Series Nodes ...
Article Properties
Article Number: 000210329
Article Type: How To
Last Modified: 15 Aug 2024
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.