VCF on VxRail: Byt ut NSX-T Local-Manager-certifikat i VCF-miljö
Summary:
Den här artikeln är en guide till hur du ersätter det självsignerade NSX-T Local-Manager-certifikatet i VCF-hanterade federationsmiljöer. Se till att systemet förblir säkert och
kompatibelt.
...
Please select a product to check article relevancy
This article applies to This article does not apply toThis article is not tied to any specific product.Not all product versions are identified in this article.
Obs! Följ endast den här artikeln för VCF-hanterade NSX-T-federationsmiljöer!
Bakgrund:
Det finns olika typer av NSX-T-certifikat som beskrivs nedan:
Certifikatets namn
Syfte
Ersättlig
Standardgiltighet
Hankatt
Det här är ett API-certifikat som används för extern kommunikation med enskilda NSX Manager-noder via användargränssnittet eller API:et.
Ja
825 DAGAR
mp-kluster
Det här är ett API-certifikat som används för extern kommunikation med NSX Manager-klustret med klustrets VIP, via användargränssnittet eller API:et.
Ja
825 DAGAR
LocalManager (på engelska)
Det här är ett plattformsidentitetscertifikat för huvudnamn för federationen. Om du inte använder federation används inte det här certifikatet.
Ja
825 DAGAR
För VCF-lösningar:
Tomcat och mp-cluster ersätts med CA-certifikat signerade av VMCA från vCenter. Certifikaten mp-cluster och Tomcat kan fortfarande finnas kvar, men de används inte.
NSX-T Manager med VCF:
Tomcat – nod 1 > används inte
mp-cluster – VIP > används inte
Ersattes under installationen med följande:
CA – nod 1
CA – VIP
Om du vill kontrollera om certifikatet används kör du följande API på Postman-plattformen:
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>
Lokalt hanterarcertifikat är det huvudsakliga identitetscertifikatet som används för att kommunicera med andra platser i federationen.
En NSX-T-federationsmiljö innehåller ett aktivt och vänteläge Global Manager-kluster och ett eller flera Local Manager-kluster.
Bild 1: Visar tre platser med aktiva och vänteläge Global Manager-kluster på plats 1 och 2 med Local Manager-kluster på alla tre platserna.
Så här tar du reda på antalet Local Manager-kluster:
För att kontrollera miljön och ta reda på hur många Local Manager-kluster det finns, följ stegen nedan och skärmdumpen:
Från System>Configuration>Location Manager:
Högst upp i Local Manager visas vilket kluster du är inloggad på. I det här exemplet är vi inloggade i ett lokalt hanterarkluster.
I mitten av sidan visas Global Manager-klustren och vilket kluster som är aktivt och vilket som är vänteläge.
Andra Local Manager-kluster visas längst ned under Fjärrplatser.
Bild 2: Klustermiljö för lokal chef
Procedur för att ersätta självsignerade certifikat för lokala hanterare:
Logga in på NSX Manager i klustret Local Manager.
Hämta en NSX-T-säkerhetskopia innan du fortsätter. Detta steg är viktigt!
System>Livscykelhantering>Säkerhetskopiering och återställning>Starta säkerhetskopiering
Bild 3: Samla in NSX-T-säkerhetskopiering.
Kontrollera certifikaten och utgångsdatumet.
Klicka på Systeminställningar>>Certifikat
I exemplet nedan visas förfallodatumet för certifikat för lokala hanterare i rött:
Bild 4: Utgångsdatum för certifikat för lokala hanterare
Det finns ett certifikat per Local Manager-kluster oavsett hur många NSX-hanterare som finns i klustret.
Logga in på valfri NSX Manager på Local Manager-kluster 1.
Generera en ny CSR.
Klicka på Systeminställningar>>Certifikat>CSRgenererar CSR>
Bild 5: Generera en ny CSR.
Ange det gemensamma namnet som local-manager.
Ange namnet som LocalManager.
Resten är användarens företags- och platsinformation (detta kan kopieras från ett gammalt utgånget certifikat.)
Klicka på Save.
Bild 6: Ange CSR-namn och ortsinformation.
Skapa ett självsignerat certifikat med hjälp av genererad CSR.
Klicka på kryssrutan >Ny CSR Generera CSR-självsigneringscertifikat> för CSR.
Bild 7: Skapa ett självsignerat certifikat.
Kontrollera att Servicecertifikatet är inställt på Nej och klicka på Spara.
Gå tillbaka till fliken Certifikat, leta reda på det nya certifikatet och kopiera certifikat-ID.
Bild 8: Kopiera nytt certifikat-ID
Ersätt huvudidentitetscertifikatet för den lokala chefen.
Användaren för att installera Postman-plattformen.
På fliken Auktorisering väljer du Skriv>grundläggande autentisering.
Ange inloggningsuppgifter för NSX-T Manager.
Bild 9: Ange inloggningsuppgifter för NSX-T Manager.
På fliken Rubrikerändrar du "application/xml" till "application/json".
Bild 10: I Postman ändrar du "application/xml" till "application/json"
På fliken Brödtext väljer du POST APIbefallning.
Välj Raw och välj sedan JSON.
I rutan bredvid POST anger du URLhttps://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
I ovanstående är URL:en den IP-adress som används för alla NSX-hanterare inom ett specifikt lokalt hanterarkluster.
I brödtextavsnittet anger du nedanstående på två rader som visas på skärmbilden:
Bild 11: Ange URL för alla NSX Manager i ett specifikt lokalt hanterarkluster.
Klicka på Skicka och se till att du ser resultatet 200 OK.
Upprepa steg 1 till 4 på varje Local Manager-kluster 2 och 3.
När de här stegen är slutförda har du skapat ett nytt certifikat i varje lokalt hanterarkluster och ersatt huvudidentitetscertifikatet i varje lokalt hanterarkluster.
Det är nu dags att ta bort de gamla utgångna certifikaten från vart och ett av de tre Local Manager-klustren.
Gå till Systeminställningar >>Certifikat och välj det certifikat som krävs.
Bild 12: Välj det certifikat som krävs.
Klicka på Ta bort>Ta bort.
Bild 13: Ta bort certifikat.
Bekräfta att huvudidentiteten fungerar och använder de nya certifikaten:
Öppna Postman
Välj GET.
Kör URL https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie.
Utdata bör likna nedanstående, "certificate_id" bör visa det nyligen skapade certifikat-ID:t.
Bild 14: Certifikat-ID visar det nya certifikat-ID:t.
Additional Information
Ersätta globala hanterarcertifikat:
Om du vill byta ut Global Manager-certifikatet följer du samma process men ändrar "LOCAL_MANAGER" till "GLOBAL_MANAGER" och utför proceduren från Global Manager-klustret.
Andra relaterade artiklar:
Mer information finns i de relaterade Broadcom VMware-artiklarna: