VCF en VxRail: Reemplazar el certificado de administrador local de NSX-T en el entorno de VCF

Antecedentes:

Existen diferentes tipos de certificados de NSX-T, como se describe a continuación:
 

Nombre del certificado	Propósito:	Reemplazable	Validez predeterminada
Gato	Este es un certificado de API que se utiliza para la comunicación externa con nodos individuales de NSX Manager a través de la interfaz de usuario o la API.	Sí	825 días
clúster de MP	Este es un certificado de API que se utiliza para la comunicación externa con el clúster de NSX Manager mediante la VIP del clúster, a través de la interfaz de usuario o la API.	Sí	825 días
Administrador local	Este es un certificado de identidad principal de la plataforma para la federación. Si no utiliza la federación, este certificado no se utiliza.	Sí	825 días

Para las soluciones VCF:

Tomcat y mp-cluster se reemplazan por certificados de CA firmados por VMCA desde vCenter. Es posible que los certificados mp-cluster y Tomcat aún estén allí, pero no se están utilizando.

NSX-T Manager con VCF:

• Tomcat: el nodo 1 > no se utiliza
• mp-cluster: la VIP > no se utiliza

Se reemplazó durante la instalación por lo siguiente:

• CA: Nodo 1
• CA - VIP

Si desea comprobar si se está utilizando el certificado, ejecute la siguiente API en la plataforma Postman:

GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>

El certificado de administrador local es el certificado de identidad principal que se utiliza para comunicarse con otros sitios de la federación.

Un entorno de federación de NSX-T contiene un clúster de administrador global activo y uno en espera, y uno o más clústeres de administrador local.
 

Cómo determinar la cantidad de clústeres de administradores locales:

Para comprobar el entorno y averiguar cuántos clústeres de administrador local hay, siga los pasos y la captura de pantalla que se indican a continuación:

En System >Configuration>Location Manager:

• En la parte superior del Local Manager, se muestra en qué clúster inició sesión. En este ejemplo, iniciamos sesión en un clúster de administrador local.
• En el centro de la página, se muestran los clústeres de administrador global, y cuál clúster está activo y cuál está en espera.
• Otros clústeres de administradores locales se ven en la parte inferior, en Sitios remotos.

Procedimiento para reemplazar certificados autofirmados de administrador local:

1. Inicie sesión en NSX Manager en el clúster de Local Manager.
2. Recolecte un respaldo de NSX-T antes de continuar. ¡Este paso es importante!
   1. Sistema>Administración del ciclo de> vida Respaldo y restauración>Iniciar respaldo

3. Compruebe los certificados y la fecha de vencimiento.
   1. Haga clic en System>Settings>Certificates

Hay un certificado por clúster de Local Manager, independientemente de la cantidad de NSX Manager que haya dentro del clúster.

1. Inicie sesión en cualquier instancia de NSX Manager del clúster 1 de Local Manager.
2. Generar una nueva CSR.
   1. Haga clic en Configuración>del sistema>Certificados>CSR>Generar CSR

2. Ingrese el nombre común como local-manager.
3. Ingrese el nombre como LocalManager.
4. El resto son detalles comerciales y de ubicación del usuario (esto se puede copiar de un certificado antiguo que vence).
5. Haga clic en Guardar.

3. Cree un certificado autofirmado mediante la CSR generada.
   1. Haga clic en la casilla >de verificación Nueva CSR Generar certificado de autofirma deCSR> para CSR.

2. Asegúrese de que el Certificado de servicio esté establecido en No y haga clic en Guardar.
3. Vuelva a la pestaña Certificados , busque el Nuevo certificado y copie el ID del certificado.

4. Reemplace el certificado de identidad de entidad de seguridad para el administrador local.
   1. Usuario para instalar la plataforma Postman.
   2. En la pestaña Autorización , seleccione Tipo>de autenticación básica.
   3. Ingrese los detalles de inicio de sesión de NSX-T Manager.

4. En la pestaña Encabezados, cambie "application/xml" a "application/json".

5. En la pestaña Cuerpo , seleccione el POST API comando.
   1. Seleccione Raw y, a continuación, seleccione JSON.
   2. En el cuadro junto a POST, ingrese URL https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
   3. En lo anterior, la URL es la IP utilizada para cualquier NSX Manager dentro de un clúster de Local Manager específico.
   4. En la sección del cuerpo , ingrese lo siguiente en dos líneas, como se muestra en la captura de pantalla:

{ "cert_id": "<certificate id, copied from step 3>",
"service_type": "LOCAL_MANAGER" }

6. Haga clic en Enviar y asegúrese de ver el resultado 200 OK.

5. Repita los pasos del 1 al 4 en cada clúster de administradores locales 2 y 3.

Una vez que se completan estos pasos, crea un certificado nuevo en cada clúster de Local Manager y reemplaza el certificado de identidad principal en cada clúster de Local Manager.

Ahora es el momento de eliminar los certificados antiguos que vencen de cada uno de los tres clústeres de administradores locales.

1. Compruebe que el certificado ya no esté en uso.
   1. Copiar ID de certificado
   2. Abrir cartero
   3. Seleccione GET API en lugar de POST.
   4. Ingresar URL https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id>
   5. Busque "used_by" y confirme que tenga corchetes vacíos.

    "used_by" : [ ],
    "resource_type" : "certificate_self_signed",
    "id" : "9cd133ca-32fc-48a2-898b-7acd928512a5",
    "display_name" : "local-manager",
    "description" : "",
    "tags" : [ ],
    "_create_user" : "admin",
    "_create_time" : 1677468138846,
    "_last_modified_user" : "admin",
    "_last_modified_time" : 1677468138846,
    "_system_owned" : false,
    "_protection" : "NOT_PROTECTED",
    "_revision" : 0
  }

2. Vaya a Configuración >del sistema >Certificados y seleccione el certificado requerido.

3. Haga clic en Delete>Delete.

4. Confirme que la identidad principal esté funcionando y utilizando los nuevos certificados:
   1. Abrir cartero
   2. Seleccione GET.
   3. URL de ejecución https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie.
   4. El resultado debe ser similar al siguiente, "certificate_id" debe mostrar el ID de certificado recién creado.

Reemplazo de certificados de administrador global:

Para reemplazar el certificado de administrador global, siga el mismo proceso, pero cambie "LOCAL_MANAGER" a "GLOBAL_MANAGER" y realice el procedimiento desde el clúster de administrador global.

Otros artículos relacionados:

Consulte estos artículos relacionados de Broadcom VMware para obtener más información:

• Tipos de certificados 
• Configuración del administrador global y los administradores locales
• Reemplazar certificados en la versión 3.2  
• Reemplazar certificados en la versión 3.1
• Crear un archivo de solicitud de firma de certificado 
• Cómo renovar el certificado de superusuario NSX-t utilizado por el usuario de identidad principal

VxRail G410, VxRail G Series Nodes, VxRail E560 VCF, VxRail E560F, VxRail E560F VCF, VxRail E560N, VxRail E560N VCF, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560, VxRail G560 VCF, VxRail G560F , VxRail G560F VCF, VxRail Gen2 Hardware, VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570 VCF, VxRail P570F, VxRail P570F VCF, VxRail P580N, VxRail P580N VCF, VXRAIL P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S570 VCF, VxRail S670, VxRail Software, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570 VCF, VxRail V570F, VxRail V570F VCF, VXRAIL V670F, VxRail VD-4000R, VxRail VD-4000W, VxRail VD-4000Z, VxRail VD-4510C, VxRail VD-4520C, VxRail VD Series Nodes ... View More View Less