VxRail 上的 VCF：更換 VCF 環境中的 NSX-T 本機管理員憑證

背景：

NSX-T 憑證有不同類型的類型，如下所述：
 

憑證名稱	用途	可更換	預設效期
公貓	這是用於透過 UI 或 API 與個別 NSX Manager 節點進行外部通訊的 API 憑證。	是	825天
MP-叢集	這是透過 UI 或 API 使用叢集 VIP 與 NSX Manager 叢集進行外部通訊的 API 憑證。	是	825天
本機管理員	這是聯合身份驗證的平台主體標識證書。如果不使用聯合身份驗證，則不會使用此證書。	是	825天

針對 VCF 解決方案：

Tomcat 和 mp-cluster 會由 VMCA 從 vCenter 簽署的 CA 憑證取代。mp-cluster 和 Tomcat 憑證可能仍存在，但並未被使用。

含 VCF 的 NSX-T Manager：

• Tomcat - 未使用 Node1 >
• mp-cluster - 未使用 VIP >

在安裝期間更換為以下內容：

• CA - 節點 1
• CA - 貴賓

如果您想要檢查憑證是否正在使用中，請在 Postman 平台上執行以下 API：

GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>

本地管理員證書是用於與聯合中的其他網站通信的主體標識證書。

NSX-T 聯合環境包含一個活動和備用全域管理器集群以及一個或多個本地管理器集群。
 

如何確定本地管理員集群的數量：

若要檢查環境並瞭解有多少本機管理員叢集，請按照下列步驟和螢幕擷取畫面操作：

從 系統>組態>位置管理員：

• 在本地管理員的頂部，它會顯示您登錄的集群。在此範例中，我們登錄到本地管理器群集。
• 在頁面中間，它會顯示 全域管理器群集，以及哪個群集處於活動狀態，哪個群集處於備用狀態。
• 其他本地管理器群集位於 底部的「遠端網站」 下。

更換本機管理員自我簽署憑證的程序：

1. 登入本機管理員叢集中的 NSX 管理員。
2. 先收集 NSX-T 備份再繼續。這一步很重要！
   1. 系統>生命週期管理>備份及還原>開始備份

3. 檢查憑證與到期日期。
   1. 按一下 系統>設定>憑證

無論集群中有多少 NSX 管理器，每個本地管理器集群都有一個證書。

1. 登入本機管理員叢集 1 上的任何 NSX 管理員。
2. 產生新的 CSR。
   1. 按一下 系統>設定>憑證>CSR>產生 CSR

2. 輸入 通用名稱 作為 local-manager。
3. 輸入 名稱 作為 LocalManager。
4. 剩下的就是使用者業務和位置詳細資料 （可以從即將到期的舊憑證複製。）
5. 按一下儲存。

3. 使用產生的 CSR 建立自我簽署憑證。
   1. 按一下新 CSR 核取方塊>產生 CSR 的 CSR>自我簽署憑證。

2. 確定服務憑證設為 否 ，然後按一下 儲存。
3. 返回到 「證書 」選項卡，找到 「新建證書 」並 複製證書ID。

4. 替換本地管理員的主體身份證書。
   1. 使用者安裝郵遞員平臺。
   2. 在 “授權 ”選項卡中，選擇 “鍵入>基本身份驗證”。
   3. 輸入 NSX-T Manager 登入詳細資料。

4. 在標頭標籤中，將「application/xml」變更為「application/json」

5. 在 「正文 」選項卡中，選擇 POST API 命令。
   1. 選取 原始，然後選取 JSON。
   2. 在 POST 旁的方塊中，輸入 URL https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
   3. 在上面，URL 是用於特定本地管理器集群內任何 NSX 管理器的 IP。
   4. 在 「body 」區段中，以兩行的格式輸入以下內容，如螢幕截圖所示：

{ "cert_id": "<certificate id, copied from step 3>",
"service_type": "LOCAL_MANAGER" }

6. 按一下傳送，並確定您看到結果 200 OK。

5. 在每個本地管理器群集 2 和 3 上重複步驟 1 到 4。

完成這些步驟后，您在每個本地管理器集群上創建了一個新證書，並替換了每個本地管理器集群上的主體身份證書。

現在可以從三個本地管理器集群中的每一個中刪除舊的過期證書了。

1. 檢查憑證是否已停止使用。
   1. 複製 憑證 ID
   2. 開啟 郵遞員
   3. 選取 取得 API 而非 POST。
   4. 輸入 URL https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id>
   5. 尋找「used_by」並確認其有空括弧。

    "used_by" : [ ],
    "resource_type" : "certificate_self_signed",
    "id" : "9cd133ca-32fc-48a2-898b-7acd928512a5",
    "display_name" : "local-manager",
    "description" : "",
    "tags" : [ ],
    "_create_user" : "admin",
    "_create_time" : 1677468138846,
    "_last_modified_user" : "admin",
    "_last_modified_time" : 1677468138846,
    "_system_owned" : false,
    "_protection" : "NOT_PROTECTED",
    "_revision" : 0
  }

2. 前往 系統 >設定 >憑證 ，然後選取所需的憑證。

3. 按一下刪除>刪除。

4. 確認主體身分正常運作，並使用新憑證：
   1. 開啟 郵遞員
   2. 選取 GET“。
   3. 執行 URL https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie.
   4. 輸出應類似以下內容，「certificate_id」應顯示新建立的憑證 ID。

更換全域管理員憑證：

若要更換全域管理員憑證，請依照相同的程序，但將「LOCAL_MANAGER」變更為「GLOBAL_MANAGER」，然後從全域管理員叢集執行程序。

其他相關文章：

如需詳細資訊，請參閱這些相關的 Broadcom VMware 文章：

• 憑證類型 
• 設定全域管理員和本地管理員
• 在 3.2 版上更換憑證  
• 在 3.1 版上更換憑證
• 建立憑證簽章要求檔案 
• 如何續訂主體身分識別使用者所使用的 NSX-t-superuser-certificate

VxRail G410, VxRail G Series Nodes, VxRail E560 VCF, VxRail E560F, VxRail E560F VCF, VxRail E560N, VxRail E560N VCF, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560, VxRail G560 VCF, VxRail G560F , VxRail G560F VCF, VxRail Gen2 Hardware, VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570 VCF, VxRail P570F, VxRail P570F VCF, VxRail P580N, VxRail P580N VCF, VXRAIL P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S570 VCF, VxRail S670, VxRail Software, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570 VCF, VxRail V570F, VxRail V570F VCF, VXRAIL V670F, VxRail VD-4000R, VxRail VD-4000W, VxRail VD-4000Z, VxRail VD-4510C, VxRail VD-4520C, VxRail VD Series Nodes ... View More View Less