Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

VCF på VxRail: Erstatt NSX-T Local-Manager-sertifikatet i VCF-miljøet

Summary: Denne artikkelen er en veiledning for å erstatte det selvsignerte NSX-T Local-Manager-sertifikatet i VCF-administrerte forbundsmiljøer. Sørg for at systemet forblir sikkert og kompatibelt. ...

This article applies to   This article does not apply to 
Check out resources for

Instructions

Merk: Bare følg denne artikkelen for VCF-administrerte NSX-T-føderasjonsmiljøer!


Bakgrunn:

Det finnes forskjellige typer NSX-T-sertifikater som beskrevet nedenfor:
 
Sertifikatnavn Purpose Utskiftbare Standard gyldighet
Hannkatt Dette er et API-sertifikat som brukes for ekstern kommunikasjon med individuelle NSX Manager-noder gjennom UI eller API. Ja 825 dager
MP-klynge Dette er et API-sertifikat som brukes for ekstern kommunikasjon med NSX Manager-klyngen ved hjelp av klyngen VIP, via UI eller API. Ja 825 dager
LocalManager Dette er en plattform Principal Identity sertifikat for forbundet. Hvis du ikke bruker Federation, brukes ikke dette sertifikatet. Ja 825 dager


For VCF-løsninger:

Tomcat og mp-cluster erstattes med CA-sertifikater signert av VMCA fra vCenter. MP-cluster- og Tomcat-sertifikatene kan fortsatt være der, men de blir ikke brukt.


NSX-T Manager med VCF:

  • Tomcat - Node1 > brukes ikke
  • mp-cluster - VIP > brukes ikke
Erstattet under installasjonen med følgende:
  • CA - Node1
  • CA - VIP
Hvis du vil sjekke om sertifikatet brukes, kjører du følgende API på Postman-plattformen: 
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>

Lokalt ledersertifikat er hovedidentitetssertifikatet som brukes til å kommunisere med andre nettsteder i forbundet.

Et NSX-T Federation-miljø inneholder en aktiv og en standby Global Manager-klynge og én eller flere Local Manager-klynger.
 
Viser tre plasseringer med aktive og permanente globale lederklynger i plassering 1 og 2, med Local Manager-klynger på alle tre plasseringene.
Figur 1: Viser tre plasseringer med aktive og permanente globale lederklynger i plassering 1 og 2, med Local Manager-klynger på alle tre plasseringene.


Slik fastslår du antall Local Manager Clusters:

Hvis du vil kontrollere miljøet og finne ut hvor mange lokale lederklynger det er, følger du trinnene nedenfor og tar skjermbilde:

Fra System>Configuration>Location Manager:
  • Øverst i den lokale lederen vises hvilken klynge du er logget inn på. I dette eksempelet er vi logget på en Local Manager Cluster.
  • Midt på siden vises Global Manager Clusters, hvilken klynge som er Active, og hvilken som er Standby.
  • Andre Local Manager Clusters vises nederst under Eksterne områder.
Lokalt lederklyngemiljø
Figur 2: Lokalt lederklyngemiljø


Fremgangsmåte for å erstatte selvsignerte sertifikater for lokal leder:

  1. Logg på NSX Manager i Local Manager Cluster.
  2. Samle inn en NSX-T-sikkerhetskopi før du fortsetter. Dette trinnet er viktig!
    1. System>Livssyklusadministrasjon>Sikkerhetskopiering og gjenoppretting>Start sikkerhetskopiering
Samle inn NSX-T-sikkerhetskopi
Figur 3: Samle inn NSX-T-sikkerhetskopi.
  1. Kontroller sertifikatene og utløpsdatoen.
    1. Klikk Sertifikater forsysteminnstillinger>>
Eksemplet nedenfor viser utløpsdatoen for sertifikater for lokal leder i rødt:
Utløpsdato for Local-Manager Certificates
Figur 4: Utløpsdato for Local-Manager Certificates

Det er ett sertifikat per Local Manager-klynge uavhengig av antall NSX Managers det er i klyngen.
  1. Logg på en hvilken som helst NSX Manager på Local Manager-klynge 1.
  2. Generer en ny CSR.
    1. Klikk på Systeminnstillinger>>Sertifikater>CSR-er>genererer CSR
Generer ny CSR
Figur 5: Generer en ny CSR.
  1. Skriv inn fellesnavnet som local-manager.
  2. Skriv inn navnet som LocalManager.
  3. Resten er informasjon om brukervirksomhet og plassering (Dette kan kopieres fra et gammelt sertifikat som utløper).
  4. Klikk på Save (Lagre).
Skriv inn CSR-navn og lokalitetsinformasjon
Figur 6: Skriv inn CSR-navn og lokalitetsinformasjon.
  1. Opprett et selvsignert sertifikat ved hjelp av den genererte CSR-en.
    1. Merk av for Ny CSR Generer >CSR>selvsigneringssertifikat for CSR.
Opprett selvsignert sertifikat
Figur 7: Opprett et selvsignert sertifikat.
  1. Kontroller at servicesertifikatet er satt til Nei , og klikk på Lagre.
  2. Gå tilbake til kategorien Sertifikater , finn det nye sertifikatet og kopier sertifikat-IDen.
Kopier ny sertifikat-ID
Figur 8: Kopier ny sertifikat-ID
  1. Erstatt hovedidentitetsbeviset for den lokale lederen.
    1. Bruker for å installere Postman-plattformen.
    2. I Autorisasjon-fanen velger du Type>grunnleggende autorisasjon.
    3. Skriv inn innloggingsdetaljer for NSX-T Manager.
Skriv inn innloggingsdetaljer for NSX-T Manager
Figur 9: Angi påloggingsdetaljer for NSX-T Manager.
  1. I kategorien Overskrifterendrer du "application/xml" til "application/json".
I Postman Endre
Figur 10: I Postman endrer du "application/xml" til "application/json"
  1. I kategorien Body velger du ikonet POST API kommando.
    1. Velg Raw, og velg deretter JSON.
    2. Skriv inn URL-adresse i boksen ved siden av POST https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
    3. I det ovennevnte er URL-adressen IP-adressen som brukes for enhver NSX-administrator i en bestemt Local Manager Cluster.
    4. I kroppsdelen skriver du inn nedenfor i to linjer som vist på skjermbildet:
{ "cert_id": "<certificate id, copied from step 3>",
"service_type": "LOCAL_MANAGER" }
Skriv inn URL-adresse for en hvilken som helst NSX Manager i en bestemt Local Manager Cluster
Figur 11: Skriv inn URL-adressen til en hvilken som helst NSX Manager i en bestemt lokal lederklynge.
  1. Klikk Send og kontroller at du ser resultatet 200 OK.
  1. Gjenta trinn 1 til 4 på hver Local Manager Cluster 2 og 3.
Når disse trinnene er fullført, har du opprettet ett nytt sertifikat på hver Local Manager Cluster og erstattet Principal Identity Certificate på hver Local Manager Cluster.

Det er nå på tide å slette de gamle sertifikatene som utløper fra hver av de tre Local Manager Clusters.
  1. Kontroller at sertifikatet ikke lenger er i bruk.
    1. Kopier sertifikat-ID
    2. Åpne postbud
    3. Velg GET API i stedet for POST.
    4. Skriv inn URL-adresse https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id>
    5. Se etter "used_by" og bekreft at den har tomme parenteser.
    "used_by" : [ ],
    "resource_type" : "certificate_self_signed",
    "id" : "9cd133ca-32fc-48a2-898b-7acd928512a5",
    "display_name" : "local-manager",
    "description" : "",
    "tags" : [ ],
    "_create_user" : "admin",
    "_create_time" : 1677468138846,
    "_last_modified_user" : "admin",
    "_last_modified_time" : 1677468138846,
    "_system_owned" : false,
    "_protection" : "NOT_PROTECTED",
    "_revision" : 0
  }
  1. Gå til Systeminnstillinger >>Sertifikater og velg ønsket sertifikat.
Velg ønsket sertifikat
Figur 12: Velg ønsket sertifikat.
  1. Klikk Slett>slett.
Slett sertifikat
Figur 13: Slett sertifikat.
  1. Bekreft at hovedidentiteten fungerer, og bruker de nye sertifikatene:
    1. Åpne postbud
    2. Velg GET.
    3. Kjør URL https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie.
    4. Utdataene skal ligne på nedenfor, "certificate_id" skal vise den nyopprettede sertifikat-ID-en.
Sertifikat-ID viser den nye sertifikat-IDen
Figur 14: Sertifikat-ID viser den nye sertifikat-IDen.

Additional Information

Erstatte Global-manager sertifikater:

For å erstatte Global Manager-sertifikatet må du følge samme prosess, men endre "LOCAL_MANAGER" til "GLOBAL_MANAGER" og utføre prosedyren fra Global Manager-klyngen.


Andre relaterte artikler:

Se disse relaterte Broadcom VMware-artiklene hvis du vil ha mer informasjon:

Affected Products

VMWare Cloud on Dell EMC VxRail E560F, VMWare Cloud on Dell EMC VxRail E560N, VxRail Appliance Family, VxRail Appliance Series, VxRail D Series Nodes, VxRail D560, VxRail D560F, VxRail E Series Nodes, VxRail E460, VxRail E560

Products

VxRail G410, VxRail G Series Nodes, VxRail E560 VCF, VxRail E560F, VxRail E560F VCF, VxRail E560N, VxRail E560N VCF, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560, VxRail G560 VCF, VxRail G560F , VxRail G560F VCF, VxRail Gen2 Hardware, VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570 VCF, VxRail P570F, VxRail P570F VCF, VxRail P580N, VxRail P580N VCF, VXRAIL P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S570 VCF, VxRail S670, VxRail Software, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570 VCF, VxRail V570F, VxRail V570F VCF, VXRAIL V670F, VxRail VD-4000R, VxRail VD-4000W, VxRail VD-4000Z, VxRail VD-4510C, VxRail VD-4520C, VxRail VD Series Nodes ...