VCF på VxRail: Udskift NSX-T Local-Manager-certifikat i VCF-miljø
Summary:
Denne artikel er en vejledning i udskiftning af NSX-T Local-Manager-selvsigneret certifikat i VCF-administrerede sammenslutningsmiljøer. Sørg for, at dit system forbliver sikkert og
kompatibelt.
...
Please select a product to check article relevancy
This article applies to This article does not apply to
Bemærk: Følg kun denne artikel for VCF-administrerede NSX-T-føderationsmiljøer!
Baggrund:
Der findes forskellige typer NSX-T-certifikater som beskrevet nedenfor:
Certifikatnavn
Formål
Udskiftelige
Standardgyldighed
Tomcat
Dette er et API-certifikat, der bruges til ekstern kommunikation med individuelle NSX Manager-noder via brugergrænseflade eller API.
Ja
825 DAGE
MP-klynge
Dette er et API-certifikat, der bruges til ekstern kommunikation med NSX Manager-klyngen ved hjælp af klyngens VIP, via brugergrænseflade eller API.
Ja
825 DAGE
Lokalmanager
Dette er en platform Principal Identity certifikat for føderationen. Hvis du ikke bruger Federation, bruges dette certifikat ikke.
Ja
825 DAGE
For VCF-løsninger:
Tomcat og mp-klyngen erstattes med CA-certifikater, der er signeret af VMCA fra vCenter. Mp-cluster- og Tomcat-certifikaterne er muligvis stadig der, men de bruges ikke.
NSX-T Manager med VCF:
Tomcat - Node1 > bruges ikke
mp-cluster - VIP > bliver ikke brugt
Udskiftes under installationen med følgende:
CA – Node1
CA – VIP
Hvis du vil kontrollere, om certifikatet bruges, skal du køre følgende API på Postman-platformen:
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>
Local-manager certifikat er det primære identitetscertifikat, der bruges til at kommunikere med andre steder i føderationen.
Et NSX-T Federation-miljø indeholder en aktiv og en standby Global Manager-klynge og en eller flere Local Manager-klynger.
Figur 1: Viser tre placeringer med aktive og standby Global Manager-klynger på lokation 1 og 2 med Local Manager-klynger på alle tre lokationer.
Sådan konstateres antallet af Local Manager-klynger:
Hvis du vil kontrollere miljøet og finde ud af, hvor mange Local Manager-klynger der er, skal du følge nedenstående trin og skærmbillede:
Fra System>Configuration>Location Manager:
Øverst i Local Manager kan du se, hvilken klynge du er logget på. I dette eksempel er vi logget på en Local Manager-klynge.
Midt på siden vises Global Manager-klyngerne, og hvilken klynge der er aktiv, og hvilken der er standby.
Andre Local Manager-klynger kan ses nederst under Fjernwebsteder.
Figur 2: Local Manager-klyngemiljø
Procedure for udskiftning af selvsignerede certifikater for lokal administrator:
Log på NSX Manager i Local Manager-klyngen.
Indsaml en NSX-T-sikkerhedskopi, før du fortsætter. Dette trin er vigtigt!
System>Livscyklusadministration>Sikkerhedskopiering og gendannelse>Start sikkerhedskopiering
Figur 3: Indsaml NSX-T-sikkerhedskopi.
Kontroller certifikaterne og udløbsdatoen.
Klik på Systemindstillingscertifikater>>
Eksemplet nedenfor viser udløbsdatoen for lokalledercertifikater med rødt:
Figur 4: Udløbsdato for lokalledercertifikater
Der er ét certifikat pr. Local Manager-klynge, uanset antallet af NSX-managere i klyngen.
Log på en NSX Manager på Local Manager-klynge 1.
Generer en ny CSR.
Klik på Systemindstillinger>>Certifikater>CSR'er Generer>CSR
Figur 5: Generer en ny CSR.
Indtast Common Name som local-manager.
Indtast navnet som LocalManager.
Resten er bruger-, forretnings- og placeringsoplysninger (Dette kan kopieres fra et gammelt certifikat, der er ved at udløbe.)
Klik på Gem.
Figur 6: Indtast CSR-navne og lokalitetsoplysninger.
Opret et selvsigneret certifikat ved hjælp af den genererede CSR.
Markér afkrydsningsfeltet >Ny CSRGenerer CSR-selvsigneringscertifikat > til CSR.
Figur 7: Opret et selvsigneret certifikat.
Sørg for, at servicecertifikatet er indstillet til Nej , og klik på Gem.
Gå tilbage til fanen Certifikater , find det nye certifikat , og kopier certifikat-id'et.
Figur 8: Kopiér nyt certifikat-id
Udskift den lokale leders primære identitetscertifikat.
Bruger til at installere Postman-platformen.
Under fanen Autorisation skal du vælge Type>Grundlæggende godkendelse.
Indtast loginoplysninger til NSX-T Manager.
Figur 9: Indtast loginoplysninger for NSX-T Manager.
Under fanen Overskrifterskal du ændre "application/xml" til "application/json".
Figur 10: I Postman skal du ændre "application / xml" til "application / json"
På fanen Brødtekst skal du vælge ikonet POST APIkommando.
Vælg Raw, og vælg derefter JSON.
I feltet ud for POST skal du indtaste URLhttps://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
I ovenstående er URL'en den IP, der bruges til enhver NSX-manager inden for en bestemt Local Manager Cluster.
I brødteksten skal du indtaste nedenstående i to linjer som vist på skærmbilledet:
Figur 11: Indtast URL-adresse for enhver NSX-manager i en bestemt Local Manager-klynge.
Klik på Send, og sørg for, at du ser resultatet 200 OK.
Gentag trin 1 til 4 på hver lokallederklynge 2 og 3.
Når disse trin er fuldført, har du oprettet et nyt certifikat for hver Local Manager-klynge og erstattet det primære identitetscertifikat for hver Local Manager-klynge.
Det er nu tid til at slette de gamle certifikater, der udløber, fra hver af de tre Local Manager-klynger.
Kontroller, at certifikatet ikke længere er i brug.
Outputtet skal svare til nedenstående, "certificate_id" skal vise det nyoprettede certifikat-id.
Figur 14: Certifikat-id viser det nye certifikat-id.
Additional Information
Udskiftning af Global-manager-certifikater:
Hvis du vil erstatte Global Manager-certifikatet, skal du følge den samme proces, men ændre "LOCAL_MANAGER" til "GLOBAL_MANAGER" og udføre proceduren fra Global Manager-klyngen.
Andre relaterede artikler:
Se disse relaterede Broadcom VMware-artikler for at få flere oplysninger: