Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

VCF на VxRail: Замінено сертифікат локального менеджера NSX-T у середовищі VCF

Summary: Ця стаття є посібником із заміни самопідписаного сертифіката NSX-T Local-Manager у середовищах керованої федерації VCF. Переконайтеся, що ваша система залишається безпечною та відповідає вимогам. ...

This article applies to   This article does not apply to 
Check out resources for

Instructions

Примітка: Дотримуйтесь цієї статті лише для керованих VCF середовищ федерації NSX-T!


Тло:

Існують різні типи сертифікатів NSX-T, як описано нижче:
 
Назва сертифіката Мета Змінні Термін дії за замовчуванням
Томкат Це сертифікат API, який використовується для зовнішнього зв'язку з окремими вузлами NSX Manager через UI або API. Так 825 днів
МП-кластер Це сертифікат API, який використовується для зовнішнього зв'язку з кластером NSX Manager за допомогою кластера VIP, через UI або API. Так 825 днів
Локальний менеджер Це сертифікат довірителя платформи для Федерації. Якщо ви не користуєтеся Федерацією, цей сертифікат не використовується. Так 825 днів


Для VCF-рішень:

Tomcat і mp-cluster замінюються на сертифікати CA, підписані VMCA від vCenter. Сертифікати mp-cluster і Tomcat можуть ще бути, але вони не використовуються.


Менеджер NSX-T з VCF:

  • Tomcat - Node1 > не використовується
  • mp-cluster - VIP > не використовується
Замінюється під час встановлення на наступне:
  • ЦС - Вузол1
  • Каліфорнія - VIP
Якщо ви хочете перевірити, чи використовується сертифікат, запустіть наступний API на платформі Postman: 
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>

Сертифікат local-manager — це сертифікат Principal Identity, який використовується для зв'язку з іншими сайтами у Федерації.

Середовище федерації NSX-T містить активний і резервний кластер Global Manager, а також один або кілька кластерів Local Manager.
 
Відображає три локації з активними та резервними кластерами Глобального менеджера в місцях 1 і 2 та кластерами локального менеджера в усіх трьох розташуваннях.
Малюнок 1: Відображає три локації з активними та резервними кластерами Глобального менеджера в місцях 1 і 2 та кластерами локального менеджера в усіх трьох розташуваннях.


Як визначити кількість кластерів локальних менеджерів:

Щоб перевірити оточення та дізнатися, скільки існує кластерів локального менеджера, дотримуйтесь наведених нижче кроків та знімка екрана:

З Диспетчера розташуванняконфігурації системи>>:
  • У верхній частині локального менеджера він показує, в якому кластері ви ввійшли в систему. У цьому прикладі ми входимо в кластер локальних менеджерів.
  • Посередині сторінки відображається кластери глобального менеджера, а також який кластер активний, а який – резервний.
  • Інші кластери локальних менеджерів відображаються внизу під пунктом «Віддалені сайти».
Середовище кластера локального менеджера
Малюнок 2: Середовище кластера локального менеджера


Процедура заміни самопідписаних сертифікатів local-manager:

  1. Увійдіть в NSX Manager в кластері локальних менеджерів.
  2. Перш ніж продовжити, зберіть резервну копію NSX-T. Цей крок важливий!
    1. Система> Управління >життєвим цикломРезервне копіювання та відновлення>Запустити резервне копіювання
Збір резервних копій NSX-T
Малюнок 3: Збирайте резервні копії NSX-T.
  1. Перевірте сертифікати та термін придатності.
    1. Клацніть «Сертифікати системних>параметрів>»
У наведеному нижче прикладі червоним кольором позначено дату закінчення терміну дії сертифікатів local-manager:
Дата закінчення терміну дії сертифікатів local-manager
Малюнок 4: Дата закінчення терміну дії сертифікатів local-manager

На кожен кластер локальних менеджерів припадає один сертифікат, незалежно від кількості менеджерів NSX у кластері.
  1. Увійдіть у будь-який NSX Manager на кластері Local Manager 1.
  2. Згенеруйте новий CSR.
    1. Натисніть «Системні>параметри>» Сертифікати>>CSRСтворення CSR
Створіть нову КСВ
Малюнок 5: Згенеруйте новий CSR.
  1. Введіть Common Name як local-manager.
  2. Введіть ім'я як LocalManager.
  3. Решта – це відомості про компанію користувача та місцезнаходження (це можна скопіювати зі старого сертифіката, термін дії якого закінчується).
  4. Натисніть Зберегти.
Введіть назви CSR та інформацію про населений пункт
Малюнок 6: Введіть назви CSR та інформацію про населений пункт.
  1. Створіть самопідписаний сертифікат за допомогою згенерованого CSR.
    1. Установіть прапорець >Створитисертифікат самопідписуCSR для CSR>.
Створення самопідписаного сертифіката
Малюнок 7: Створіть сертифікат із власним підписом.
  1. Переконайтеся, що для сертифіката служби встановлено значення Ні, і натисніть Зберегти.
  2. Поверніться на вкладку «Сертифікати », знайдіть «Новий сертифікат » і «Копіювати ідентифікатор сертифіката».
Копіювання нового ідентифікатора сертифіката
Малюнок 8: Копіювання нового ідентифікатора сертифіката
  1. Замініть сертифікат Principal Identity для Local Manager.
    1. Користувач для встановлення платформи Postman.
    2. У вкладці Авторизація виберіть Type>Basic Auth.
    3. Введіть дані для входу в NSX-T Manager.
Введіть дані для входу в NSX-T Manager
Малюнок 9: Введіть дані для входу в NSX-T Manager.
  1. У вкладці Заголовкизмініть "application/xml" на "application/json".
У Postman змініть
Малюнок 10: У Postman змініть "application/xml" на "application/json"
  1. На вкладці Тіло виберіть піктограму POST API команда.
    1. Виберіть Raw, а потім виберіть JSON.
    2. У полі поруч із POST введіть URL-адресу https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
    3. У наведеному вище розділі URL – це IP-адреса, яка використовується для будь-якого менеджера NSX у певному кластері локальних менеджерів.
    4. У розділі тіло введіть наведене нижче у два рядки, як показано на скріншоті:
{ "cert_id": "<certificate id, copied from step 3>",
"service_type": "LOCAL_MANAGER" }
Введіть URL-адресу будь-якого менеджера NSX у певному кластері локального менеджера
Малюнок 11: Введіть URL-адресу будь-якого менеджера NSX у певному кластері локального менеджера.
  1. Натисніть «Відправити» і переконайтеся, що ви бачите результат 200 OK.
  1. Повторіть кроки з 1 по 4 для кожного кластера локального менеджера 2 і 3.
Після виконання цих кроків ви створюєте по одному новому сертифікату на кожному кластері локального менеджера та замінюєте сертифікат профілю на кожному кластері локального менеджера.

Настав час видалити старі сертифікати, термін дії яких закінчується, з кожного з трьох кластерів локальних менеджерів.
  1. Переконайтеся, що сертифікат більше не використовується.
    1. Скопіювати ідентифікатор сертифіката
    2. Відкрийте Postman
    3. Виберіть GET API замість POST.
    4. Введіть URL-адресу https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id>
    5. Знайдіть «used_by» і переконайтеся, що в ньому є порожні дужки.
    "used_by" : [ ],
    "resource_type" : "certificate_self_signed",
    "id" : "9cd133ca-32fc-48a2-898b-7acd928512a5",
    "display_name" : "local-manager",
    "description" : "",
    "tags" : [ ],
    "_create_user" : "admin",
    "_create_time" : 1677468138846,
    "_last_modified_user" : "admin",
    "_last_modified_time" : 1677468138846,
    "_system_owned" : false,
    "_protection" : "NOT_PROTECTED",
    "_revision" : 0
  }
  1. Перейдіть до розділу «Сертифікати системних >параметрів>» і виберіть потрібний сертифікат.
Виберіть необхідний сертифікат
Малюнок 12: Виберіть необхідний сертифікат.
  1. Натисніть «Видалити», «Видалити>».
Видалити сертифікат
Малюнок 13: Видалити сертифікат.
  1. Підтвердьте, що Principal Identity працює та використовує нові сертифікати:
    1. Відкрийте Postman
    2. Виберіть ОТРИМАТИ.
    3. URL-адреса запуску https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie.
    4. Виведення має бути подібним до наведеного нижче, "certificate_id" має показувати щойно створений ідентифікатор сертифіката.
Ідентифікатор сертифіката відображає новий ідентифікатор сертифіката
Малюнок 14: Ідентифікатор сертифіката відображає новий ідентифікатор сертифіката.

Additional Information

Заміна сертифікатів Global-manager:

Щоб замінити сертифікат глобального менеджера, виконайте ту саму процедуру, але змініть «LOCAL_MANAGER» на «GLOBAL_MANAGER» і виконайте процедуру з Глобального кластера менеджерів.


Інші статті по темі:

Перегляньте ці пов'язані статті Broadcom VMware для отримання додаткової інформації:

Affected Products

VMWare Cloud on Dell EMC VxRail E560F, VMWare Cloud on Dell EMC VxRail E560N, VxRail Appliance Family, VxRail Appliance Series, VxRail D Series Nodes, VxRail D560, VxRail D560F, VxRail E Series Nodes, VxRail E460, VxRail E560

Products

VxRail G410, VxRail G Series Nodes, VxRail E560 VCF, VxRail E560F, VxRail E560F VCF, VxRail E560N, VxRail E560N VCF, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560, VxRail G560 VCF, VxRail G560F , VxRail G560F VCF, VxRail Gen2 Hardware, VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570 VCF, VxRail P570F, VxRail P570F VCF, VxRail P580N, VxRail P580N VCF, VXRAIL P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S570 VCF, VxRail S670, VxRail Software, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570 VCF, VxRail V570F, VxRail V570F VCF, VXRAIL V670F, VxRail VD-4000R, VxRail VD-4000W, VxRail VD-4000Z, VxRail VD-4510C, VxRail VD-4520C, VxRail VD Series Nodes ...