VCF на VxRail: Замена сертификата NSX-T Local-Manager в среде VCF
Summary:
В данной статье приведены инструкции по замене самозаверяющего сертификата NSX-T Local-Manager в управляемых средах федерации VCF. Обеспечьте безопасность и соответствие системы
нормативным требованиям.
...
Please select a product to check article relevancy
This article applies to This article does not apply to
Примечание. Следуйте указаниям в этой статье только для сред федерации NSX-T, управляемых VCF!
Предпосылка.
Существуют различные типы сертификатов NSX-T, описанные ниже.
Имя сертификата
Назначение
Заменимый
Срок действия по умолчанию
Кот
Это сертификат API, используемый для внешнего взаимодействия с отдельными узлами NSX Manager через пользовательский интерфейс или API.
Да
825 дней
mp-кластер
Это сертификат API, используемый для внешнего взаимодействия с кластером NSX Manager с помощью VIP-адреса кластера через пользовательский интерфейс или API.
Да
825 дней
Локальный диспетчер
Это сертификат основного удостоверения платформы для федерации. Если федерация не используется, этот сертификат не используется.
Да
825 дней
Для решений VCF:
Tomcat и mp-cluster заменяются сертификатами CA, подписанными VMCA из vCenter. Сертификаты mp-cluster и Tomcat могут по-прежнему присутствовать, но не используются.
NSX-T Manager с VCF.
Tomcat — узел 1 > не используется
mp-cluster — VIP-адрес > не используется
Заменено во время установки на следующие компоненты:
CA — узел 1
CA - VIP
Если вы хотите проверить, используется ли сертификат, запустите следующий API на платформе Postman:
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>
Сертификат локального диспетчера — это основной сертификат удостоверения, используемый для связи с другими площадками в федерации.
Среда федерации NSX-T содержит активный и резервный кластеры глобального диспетчера и один или несколько кластеров локального диспетчера.
Рис. 1. Показаны три расположения с активными и резервными кластерами глобального диспетчера в расположениях 1 и 2 с кластерами локального диспетчера во всех трех расположениях.
Как определить количество кластеров локального диспетчера:
Чтобы проверить среду и узнать, сколько существует кластеров Local Manager, выполните следующие действия и сделайте снимок экрана:
В>System Configuration>Location Manager:
В верхней части окна Local Manager отображается кластер, в который выполнен вход. В данном примере мы вошли в кластер локального диспетчера.
В середине страницы отображаются кластеры глобального диспетчера, а также кластер активный, а какой резервный.
Другие кластеры локального диспетчера отображаются внизу в разделе Удаленные площадки.
Войдите в NSX Manager в кластере локального диспетчера.
Прежде чем продолжить, создайте резервную копию NSX-T. Этот шаг очень важен!
Система>Управление жизненным циклом>Резервное копирование и восстановление>Начать резервное копирование
Рис. 3. Соберите резервную копию NSX-T.
Проверьте сертификаты и срок их действия.
Нажмите System>Settings>Certificates
В приведенном ниже примере красной цветом показана дата истечения срока действия сертификатов локального диспетчера:
Рис. 4. Дата истечения срока действия сертификатов локального менеджера
Для каждого кластера Local Manager имеется один сертификат, независимо от количества диспетчеров NSX в кластере.
Войдите в любой NSX Manager в кластере Local Manager 1.
Создайте новый CSR.
Нажмите Настройки системы>Сертификаты>>>CSR Создать CSR
Рис. 5. Создайте новый CSR.
Введите Common Name в качестве local-manager.
Введите имя в виде LocalManager.
Остальная информация — это сведения о бизнесе и местоположении пользователя (их можно скопировать из старого сертификата с истекающим сроком действия).
Нажмите Save.
Рис. 6. Введите имена CSR и информацию о населенном пункте.
Создайте самозаверяющий сертификат с помощью созданного запроса подписи сертификата.
Установите флажок >Создать CSR Создать самозаверяющий сертификатCSR> для CSR.
Рис. 7. Создайте самозаверяющий сертификат.
Убедитесь, что для параметра Сертификат сервиса установлено значение Нет , и нажмите Сохранить.
Вернитесь на вкладку Сертификаты , найдите Новый сертификат и скопируйте идентификатор сертификата.
Рис. 8. Копировать новый идентификатор сертификата
Замените сертификат удостоверения основного субъекта для локального управляющего.
Пользователь для установки платформы Postman.
На вкладке Авторизация выберите Введите>базовую проверку подлинности.
Введите данные для входа в NSX-T Manager.
Рис. 9. Введите данные для входа в NSX-T Manager.
На вкладке «Headers» измените «application/xml» на «application/json».
Рис. 10. В Postman измените «application/xml» на «application/json»
На вкладке Текст выберите POST API.
Выберите Raw, а затем выберите JSON.
В поле рядом с POST введите URL-адресhttps://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
В приведенном выше примере URL-адрес — это IP-адрес, используемый для любого диспетчера NSX в конкретном кластере Local Manager.
В разделе body введите следующую информацию в две строки, как показано на снимке экрана:
Рис. 11. Введите URL-адрес для любого диспетчера NSX в определенном кластере локального диспетчера.
Нажмите «Отправить» и убедитесь, что отображается результат 200 OK.
Повторите шаги с 1 по 4 для каждого кластера локального диспетчера 2 и 3.
После выполнения этих действий вы создадите один новый сертификат в каждом кластере локального диспетчера и замените основной сертификат удостоверения в каждом кластере локального диспетчера.
Пришло время удалить старые сертификаты с истекающим сроком действия из каждого из трех кластеров локального диспетчера.
Выходные данные должны быть такими же, как показано ниже. «certificate_id» должен отображать только что созданный идентификатор сертификата.
Рис. 14. Идентификатор сертификата — идентификатор нового сертификата.
Additional Information
Замена сертификатов Global-manager:
Чтобы заменить сертификат глобального управляющего, выполните тот же процесс, но измените «LOCAL_MANAGER» на «GLOBAL_MANAGER» и выполните процедуру из кластера Global Manager.
Другие статьи по теме:
Дополнительные сведения см. в следующих статьях о Broadcom VMware: