VCF na VxRail: Wymiana certyfikatu NSX-T Local-Manager w środowisku VCF
Summary:
Ten artykuł zawiera wskazówki dotyczące zastępowania certyfikatu NSX-T Local-Manager z podpisem własnym w środowiskach federacyjnych zarządzanych przez VCF. Upewnij się, że Twój system
pozostaje bezpieczny i zgodny z przepisami.
...
Please select a product to check article relevancy
This article applies to This article does not apply to
Uwaga: Postępuj zgodnie z tym artykułem tylko dla środowisk federacyjnych NSX-T zarządzanych przez VCF!
Opis:
Istnieją różne typy certyfikatów NSX-T zgodnie z poniższym opisem:
Nazwa certyfikatu
Zastosowanie
Wymienny
Ważność domyślna
Kocur
Jest to certyfikat API używany do komunikacji zewnętrznej z poszczególnymi węzłami NSX Manager za pośrednictwem interfejsu użytkownika lub API.
Tak
825 dni
mp-klaster
Jest to certyfikat API używany do komunikacji zewnętrznej z klastrem NSX Manager przy użyciu adresu VIP klastra, za pośrednictwem interfejsu użytkownika lub interfejsu API.
Tak
825 dni
Menedżer lokalny
Jest to certyfikat tożsamości głównej platformy dla federacji. Jeśli nie używasz federacji, ten certyfikat nie jest używany.
Tak
825 dni
W przypadku rozwiązań VCF:
Tomcat i mp-cluster zostaną zastąpione certyfikatami CA podpisanymi przez VMCA z vCenter. Certyfikaty mp-cluster i Tomcat mogą nadal istnieć, ale nie są używane.
NSX-T Manager z VCF:
Tomcat — węzeł Node1 > nie jest używany
mp-cluster - VIP > nie jest używany
Podczas instalacji zastąpiono poniższe:
CA — węzeł 1
CA — VIP
Jeśli chcesz sprawdzić, czy certyfikat jest używany, uruchom następujący interfejs API na platformie Postman:
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>
Certyfikat menedżera lokalnego jest certyfikatem tożsamości podmiotu głównego używanym do komunikowania się z innymi lokacjami w federacji.
Środowisko federacji NSX-T zawiera aktywny i rezerwowy klaster Global Manager oraz co najmniej jeden klaster Local Manager.
Rysunek 1. Pokazuje trzy lokalizacje z aktywnymi i rezerwowymi klastrami menedżera globalnego w lokalizacjach 1 i 2 z klastrami Menedżer lokalny we wszystkich trzech lokalizacjach.
Jak ustalić liczbę klastrów Local Manager:
Aby sprawdzić środowisko i dowiedzieć się, ile jest klastrów Local Manager, wykonaj poniższe kroki i zrzut ekranu:
Z Menedżera lokalizacjikonfiguracji>systemu>:
W górnej części Menedżera lokalnego widoczny jest klaster, do którego użytkownik jest zalogowany. W tym przykładzie jesteśmy zalogowani do klastra Local Manager.
Na środku strony widoczne są klastry menedżera globalnego oraz klaster aktywny, a który zapasowy.
Inne klastry Menedżera lokalnego są widoczne u dołu w sekcji Lokalizacje zdalne.
Rysunek 2. Menedżer lokalny środowiska klastra
Procedura zastąpienia certyfikatów z podpisem własnym menedżera lokalnego:
Zaloguj się do NSX Manager w klastrze Local Manager.
Przed kontynuowaniem zbierz kopię zapasową NSX-T. Ten krok jest ważny!
System>Zarządzanie cyklem> życia Tworzenie kopii zapasowych i przywracanie danych>Rozpocznij tworzenie kopii zapasowej
Rysunek 3. Zbieranie kopii zapasowych NSX-T.
Sprawdź certyfikaty i datę ważności.
> Kliknij opcję System Settings>Certificates
Poniższy przykład pokazuje na czerwono datę wygaśnięcia certyfikatów lokalnego menedżera:
Rysunek 4. Data wygaśnięcia certyfikatów lokalnego zarządcy
Istnieje jeden certyfikat dla każdego klastra Local Manager, niezależnie od liczby menedżerów NSX w klastrze.
Zaloguj się do dowolnego menedżera NSX Manager w klastrze Local Manager 1.
Reszta to dane dotyczące firmy użytkownika i lokalizacji (można je skopiować ze starego wygasającego certyfikatu).
Wybierz przycisk Save.
Rysunek 6. Wprowadź nazwy CSR i informacje o miejscowości.
Utwórz certyfikat z podpisem własnym przy użyciu wygenerowanego CSR.
Kliknij pole > wyboru New CSRGenerate CSR>Self-Sign Certificate for CSR.
Rysunek 7. Utwórz certyfikat z podpisem własnym.
Upewnij się, że certyfikat serwisowy jest ustawiony na Nie i kliknij przycisk Save.
Wróć do karty Certificates , znajdź nowy certyfikat i skopiuj identyfikator certyfikatu.
Rysunek 8. Kopiuj nowy identyfikator certyfikatu
Wymień certyfikat tożsamości podmiotu zabezpieczeń dla menedżera lokalnego.
Użytkownik do zainstalowania platformy Postman.
Na karcie Autoryzacja wybierz pozycję Typ>uwierzytelniania podstawowego.
Wprowadź dane logowania NSX-T Manager.
Rysunek 9. Wprowadź dane logowania NSX-T Manager.
Na karcie Headerszmień wartość "application/xml" na "application/json".
Rysunek 10. W narzędziu Postman zmień wartość "application/xml" na "application/json"
Na karcie Treść wybierz ikonę POST API.
Wybierz pozycję Raw, a następnie wybierz pozycję JSON.
W polu obok metody POST wpisz adres URLhttps://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
W powyższym przykładzie adres URL jest adresem IP używanym dla dowolnego menedżera NSX w określonym klastrze Local Manager.
W sekcji treści wprowadź poniższe wartości w dwóch wierszach, jak pokazano na zrzucie ekranu:
Kliknij Wyślij i upewnij się, że widzisz wynik 200 OK.
Powtórz kroki od 1 do 4 dla każdego klastra 2 i 3 menedżera lokalnego.
Po wykonaniu tych kroków utworzono jeden nowy certyfikat w każdym klastrze menedżera lokalnego i zastąpiono certyfikat tożsamości podmiotu zabezpieczeń w każdym klastrze menedżera lokalnego.
Teraz nadszedł czas, aby usunąć stare, wygasające certyfikaty z każdego z trzech klastrów Local Manager.
Dane wyjściowe powinny być podobne do poniższych, "certificate_id" powinno pokazywać nowo utworzony identyfikator certyfikatu.
Rysunek 14. Identyfikator certyfikatu wyświetla nowy identyfikator certyfikatu.
Additional Information
Wymiana certyfikatów menedżera globalnego:
Aby zastąpić certyfikat menedżera globalnego, należy wykonać ten sam proces, ale zmienić "LOCAL_MANAGER" na "GLOBAL_MANAGER" i wykonać procedurę z poziomu klastra menedżera globalnego.
Inne powiązane artykuły:
Więcej informacji można znaleźć w następujących powiązanych artykułach Broadcom VMware: