Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

VCF on VxRail: Substituir o certificado NSX-T Local-Manager no ambiente VCF

Summary: Este artigo é um guia para substituir o certificado autoassinado do NSX-T Local-Manager em ambientes de federação gerenciados pelo VCF. Certifique-se de que seu sistema permaneça seguro e em conformidade. ...

This article applies to   This article does not apply to 
Check out resources for

Instructions

Nota: Siga este artigo somente para ambientes de federação NSX-T gerenciados pelo VCF!


Informações gerais:

Existem diferentes tipos de certificados NSX-T, conforme descrito abaixo:
 
Nome do certificado Objetivo Substituível Validade padrão
Gato Esse é um certificado de API usado para comunicação externa com nós individuais do NSX Manager por meio da interface do usuário ou da API. Sim 825 dias
mp-cluster Esse é um certificado de API usado para comunicação externa com o cluster do NSX Manager usando o VIP do cluster, por meio da interface do usuário ou da API. Sim 825 dias
Gerente local Este é um certificado de identidade do principal da plataforma para a federação. Se você não estiver usando Federação, esse certificado não será usado. Sim 825 dias


Para soluções VCF:

O Tomcat e o cluster mp são substituídos por certificados CA assinados pela VMCA a partir do vCenter. Os certificados mp-cluster e Tomcat ainda podem estar lá, mas não estão sendo usados.


NSX-T Manager com VCF:

  • Tomcat - Nó 1 > não está sendo usado
  • mp-cluster - VIP > não sendo usado
Substituído durante a instalação pelo seguinte:
  • CA - Nó 1
  • CA - VIP
Se você quiser verificar se o certificado está sendo usado, execute a seguinte API na plataforma Postman: 
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>

O certificado do gerente local é o certificado de identidade principal usado para se comunicar com outros locais na federação.

Um ambiente de federação do NSX-T contém um cluster ativo e um em espera do Global Manager e um ou mais clusters do Local Manager.
 
Mostra três locais com clusters ativos e em espera do Global Manager nos locais 1 e 2 com clusters do Local Manager em todos os três locais.
Figura 1: Mostra três locais com clusters ativos e em espera do Global Manager nos locais 1 e 2 com clusters do Local Manager em todos os três locais.


Como determinar o número de clusters do Local Manager:

Para verificar o ambiente e descobrir quantos clusters do Local Manager existem, siga as etapas abaixo e a captura de tela:

From System>Configuration>Location Manager:
  • Na parte superior do Local Manager, ele mostra em qual cluster você está conectado. Neste exemplo, estamos conectados a um cluster do Local Manager.
  • No meio da página, ele mostra os clusters do gerenciador global, qual cluster está ativo e qual está em espera.
  • Outros clusters do gerenciador local são vistos na parte inferior, em locais remotos.
Ambiente de cluster do gerenciador local
Figura 2: Ambiente de cluster do gerenciador local


Procedimento para substituir certificados autoassinados do gerenciador local:

  1. Faça log-in no NSX Manager no cluster do Local Manager.
  2. Colete um backup do NSX-T antes de continuar. Esse passo é importante!
    1. Sistema>Gerenciamento do ciclo de> vida Backup e restauração>Iniciar backup
Coletar backup do NSX-T
Figura 3: Coletar backup do NSX-T.
  1. Verifique os certificados e a data de vencimento.
    1. Clique em System>Settings>Certificates
O exemplo abaixo mostra em vermelho a data de expiração dos certificados do gerenciador local:
Data de expiração dos certificados do Local-Manager
Figura 4: Data de expiração dos certificados do Local-Manager

Há um certificado por cluster do Local Manager, independentemente do número de NSX Managers presentes no cluster.
  1. Faça log-in em qualquer NSX Manager no cluster do Local Manager 1.
  2. Gerar uma nova CSR.
    1. Clique em System>Settings>Certificates>CSRs>generate CSR
Gerar nova CSR
Figura 5: Gerar uma nova CSR.
  1. Digite o nome comum como local-manager.
  2. Digite o nome como LocalManager.
  3. O resto são detalhes de negócios e locais do usuário (isso pode ser copiado de um certificado antigo que está expirando.)
  4. Clique em Save.
Insira os nomes de CSR e as informações de localidade
Figura 6: Digite os nomes de CSR e as informações de localidade.
  1. Crie um certificado autoassinado usando a CSR gerada.
    1. Clique na caixa >de seleção New CSRGenerate CSR>Self-Sign Certificate for CSR.
Criar certificado autoassinado
Figura 7: Crie um certificado autoassinado.
  1. Certifique-se de que Service Certificate esteja definido como No e clique em Save.
  2. Retorne à guia Certificates , localize New Certificate e Copy Certificate ID.
Copiar novo ID do certificado
Figura 8: Copiar novo ID do certificado
  1. Substitua o certificado de identidade principal do gerente local.
    1. Usuário para instalar a plataforma Postman.
    2. Na guia Authorization , selecione Type>Basic Auth.
    3. Insira os detalhes de login do NSX-T Manager.
Entre nos detalhes de log-in do NSX-T Manager
Figura 9: Insira os detalhes de login do NSX-T Manager.
  1. Na guia Cabeçalhos, altere "application/xml" para "application/json".
Em Postman Altere
Figura 10: No Postman, altere "application/xml" para "application/json"
  1. Na guia Corpo , selecione o POST API .
    1. Selecione Raw e, em seguida, selecione JSON.
    2. Na caixa ao lado de POST, digite o URL https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
    3. Nos itens acima, a URL é o IP usado para qualquer NSX Manager em um cluster específico do Local Manager.
    4. Na seção do corpo , digite o texto abaixo em duas linhas, conforme visto na captura de tela:
{ "cert_id": "<certificate id, copied from step 3>",
"service_type": "LOCAL_MANAGER" }
Digite a URL de qualquer NSX Manager em um cluster específico do gerenciador local
Figura 11: Digite a URL de qualquer NSX Manager em um cluster específico do gerenciador local.
  1. Clique em Send e certifique-se de ver o resultado 200 OK.
  1. Repita as etapas 1 a 4 em cada cluster 2 e 3 do gerenciador local.
Depois que essas etapas forem concluídas, você terá criado um novo certificado em cada cluster do Local Manager e substituído o certificado de identidade principal em cada cluster do Local Manager.

Agora é hora de excluir os certificados antigos que expiram de cada um dos três clusters do Local Manager.
  1. Verifique se o certificado não está mais em uso.
    1. Copiar ID do certificado
    2. Carteiro Aberto
    3. Selecione GET API em vez de POST.
    4. Digitar URL https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id>
    5. Procure "used_by" e confirme se ele tem colchetes vazios.
    "used_by" : [ ],
    "resource_type" : "certificate_self_signed",
    "id" : "9cd133ca-32fc-48a2-898b-7acd928512a5",
    "display_name" : "local-manager",
    "description" : "",
    "tags" : [ ],
    "_create_user" : "admin",
    "_create_time" : 1677468138846,
    "_last_modified_user" : "admin",
    "_last_modified_time" : 1677468138846,
    "_system_owned" : false,
    "_protection" : "NOT_PROTECTED",
    "_revision" : 0
  }
  1. Acesse System >Settings >Certificates e selecione o certificado necessário.
Selecione o certificado requerido
Figura 12: Selecione o certificado requerido.
  1. Clique em Delete>Delete.
Excluir certificado
Figura 13: Exclua o certificado.
  1. Confirme se a identidade principal está funcionando e usando os novos certificados:
    1. Carteiro Aberto
    2. Selecione GET.
    3. Executar URL https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie.
    4. A saída deve ser semelhante à abaixo. "certificate_id" deve mostrar o ID do certificado recém-criado.
O ID do certificado mostra o novo ID do certificado
Figura 14: Certificate ID mostra o novo ID de certificado.

Additional Information

Substituindo certificados do gerenciador global:

Para substituir o certificado do Global Manager, siga o mesmo processo, mas altere "LOCAL_MANAGER" para "GLOBAL_MANAGER" e execute o procedimento no cluster do Global Manager.


Outros artigos relacionados:

Consulte estes artigos relacionados da Broadcom VMware para obter mais informações:

Affected Products

VMWare Cloud on Dell EMC VxRail E560F, VMWare Cloud on Dell EMC VxRail E560N, VxRail Appliance Family, VxRail Appliance Series, VxRail D Series Nodes, VxRail D560, VxRail D560F, VxRail E Series Nodes, VxRail E460, VxRail E560

Products

VxRail G410, VxRail G Series Nodes, VxRail E560 VCF, VxRail E560F, VxRail E560F VCF, VxRail E560N, VxRail E560N VCF, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560, VxRail G560 VCF, VxRail G560F , VxRail G560F VCF, VxRail Gen2 Hardware, VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570 VCF, VxRail P570F, VxRail P570F VCF, VxRail P580N, VxRail P580N VCF, VXRAIL P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S570 VCF, VxRail S670, VxRail Software, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570 VCF, VxRail V570F, VxRail V570F VCF, VXRAIL V670F, VxRail VD-4000R, VxRail VD-4000W, VxRail VD-4000Z, VxRail VD-4510C, VxRail VD-4520C, VxRail VD Series Nodes ...