Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

VCF on VxRail:替换 VCF 环境中的 NSX-T Local-Manager 证书

Summary: 本文是在 VCF 管理的联合环境中替换 NSX-T Local-Manager 自签名证书的指南。确保您的系统保持安全和合规。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

提醒:对于 VCF 托管的 NSX-T 联合环境,请遵循本文!


背景:

有不同类型的 NSX-T 证书,如下所述:
 
证书名称 目的 更换 默认有效性
Tomcat 这是一个 API 证书,用于通过 UI 或 API 与各个 NSX Manager 节点进行外部通信。 825天
MP-群集 这是一个 API 证书,用于通过 UI 或 API 使用群集 VIP 与 NSX Manager 群集进行外部通信。 825天
LocalManager 这是联合的平台主体身份证书。如果不使用联合身份验证,则不会使用此证书。 825天


对于 VCF 解决方案:

Tomcat 和 mp-cluster 替换为由 vCenter 中的 VMCA 签名的 CA 证书。mp-cluster 和 Tomcat 证书可能仍然存在,但未被使用。


具有 VCF 的 NSX-T Manager:

  • Tomcat — 未使用节点 1 >
  • mp-cluster - 未使用 VIP >
在安装过程中更换了以下内容:
  • CA — 节点 1
  • CA - VIP
如果要检查证书是否正在使用,请在 Postman 平台上运行以下 API: 
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>

本地管理器证书是用于与联盟中的其他站点通信的主体身份证书。

NSX-T 联合环境包含一个活动和备用全局管理器群集以及一个或多个本地管理器群集。
 
显示三个位置,位置 1 和 2 中有活动和备用全局管理器群集,所有三个位置都有本地管理器群集。
图 1:显示三个位置,位置 1 和 2 中有活动和备用全局管理器群集,所有三个位置都有本地管理器群集。


如何确定本地管理器群集的数量:

要检查环境并了解有多少个本地管理器群集,请按照以下步骤和屏幕截图操作:

系统>配置>位置管理器:
  • 在本地管理器的顶部,它显示您登录的群集。在此示例中,我们登录到本地管理器群集。
  • 在页面中间,它显示 全局管理器群集,以及哪个群集处于活动状态,哪个群集处于备用状态。
  • 在底部 的 Remote Sites 下可以看到其他本地管理器群集。
本地管理器群集环境
图 2:本地管理器群集环境


替换 local-manager 自签名证书的过程:

  1. 登录到本地管理器群集中的 NSX Manager。
  2. 请先收集 NSX-T 备份,然后再继续。这一步很重要!
    1. 系统>生命周期管理>备份和还原>开始备份
收集 NSX-T 备份
图 3:收集 NSX-T 备份。
  1. 检查证书和到期日期。
    1. 单击 系统>设置>证书
以下示例以红色显示 local-manager 证书的到期日期:
本地管理器证书的到期日期
图 4:本地管理器证书的到期日期

无论群集内有多少个 NSX Manager,每个 Local Manager 群集都有一个证书。
  1. 登录到本地管理器群集 1 上的任何 NSX Manager。
  2. 生成新的 CSR。
    1. 单击System>SettingsCertificatesCSRsGenerate>>>CSR
生成新的 CSR
图 5:生成新的 CSR。
  1. 输入 通用名称 local-manager。
  2. 输入 名称 LocalManager。
  3. 其余部分是用户业务和位置详细信息(可以从即将过期的旧证书复制。)
  4. 单击 Save
输入 CSR 名称和位置信息
图 6:输入 CSR 名称和位置信息。
  1. 使用生成的 CSR 创建自签名证书。
    1. 单击 新建 CSR 复选框 >为 CSR 生成 CSR>自签名证书
创建自签名证书
图 7:创建自签名证书。
  1. 确保Service Certificate设置为 No ,然后单击 Save
  2. 返回到 “证书 ”选项卡,找到 新证书复制证书 ID
复制新证书 ID
图 8:复制新证书 ID
  1. 替换本地管理器的主体身份证书。
    1. 用户安装 Postman 平台。
    2. Authorization 选项卡中,选择 Type>Basic Auth
    3. 输入 NSX-T Manager 登录详细信息。
输入 NSX-T Manager 登录详细信息
图 9:输入 NSX-T Manager 登录详细信息。
  1. “标头”选项卡中,将“application/xml”更改为application/json”。
在 Postman 中,将“application/xml”更改为“application/json”
图 10:在 Postman 中,将“application/xml”更改为“application/json”
  1. “Body ”选项卡中,选择 POST API 命令。
    1. 选择“原始”,然后选择“JSON”。
    2. 在 POST 旁边的框中,输入 URL https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
    3. 在上面中,URL 是用于特定本地管理器群集中的任何 NSX Manager 的 IP。
    4. 正文 部分中,如屏幕截图所示,分两行输入以下内容:
{ "cert_id": "<certificate id, copied from step 3>",
"service_type": "LOCAL_MANAGER" }
输入特定本地管理器群集中任何 NSX Manager 的 URL
图 11:输入特定本地管理器群集中任何 NSX Manager 的 URL。
  1. 单击 Send ,并确保看到结果 200 OK
  1. 在每个本地管理器群集 2 和 3 上重复步骤 1 至 4。
完成这些步骤后,您已在每个本地管理器群集上创建一个新证书,并替换了每个本地管理器群集上的主体身份证书。

现在是时候从三个本地管理器群集中的每一个中删除即将过期的旧证书了。
  1. 检查证书是否不再使用。
    1. 复制 证书 ID
    2. 打开 Postman
    3. 选择 GET API ,而不是 POST。
    4. 输入 URL https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id>
    5. 查找“used_by”并确认其包含空括号。
    "used_by" : [ ],
    "resource_type" : "certificate_self_signed",
    "id" : "9cd133ca-32fc-48a2-898b-7acd928512a5",
    "display_name" : "local-manager",
    "description" : "",
    "tags" : [ ],
    "_create_user" : "admin",
    "_create_time" : 1677468138846,
    "_last_modified_user" : "admin",
    "_last_modified_time" : 1677468138846,
    "_system_owned" : false,
    "_protection" : "NOT_PROTECTED",
    "_revision" : 0
  }
  1. 转至 系统 >设置 >证书 ,然后选择所需的证书。
选择所需的证书
图 12:选择所需的证书。
  1. 单击DeleteDelete>。
删除证书
图 13:删除证书。
  1. 确认主体身份正常工作并使用新证书:
    1. 打开 Postman
    2. 选择 GET
    3. 运行 URL https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie.
    4. 输出应类似于以下内容,“certificate_id”应显示新创建的证书 ID。
Certificate ID显示新的证书 ID
图 14:Certificate ID显示新的证书 ID。

Additional Information

替换全局管理器证书:

要替换全局管理器证书,请遵循相同的过程,但将“LOCAL_MANAGER”更改为“GLOBAL_MANAGER”,然后从全局管理器群集执行该过程。


其他相关文章:

有关详细信息,请参阅以下相关的 Broadcom VMware 文章:

Affected Products

VMWare Cloud on Dell EMC VxRail E560F, VMWare Cloud on Dell EMC VxRail E560N, VxRail Appliance Family, VxRail Appliance Series, VxRail D Series Nodes, VxRail D560, VxRail D560F, VxRail E Series Nodes, VxRail E460, VxRail E560

Products

VxRail G410, VxRail G Series Nodes, VxRail E560 VCF, VxRail E560F, VxRail E560F VCF, VxRail E560N, VxRail E560N VCF, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560, VxRail G560 VCF, VxRail G560F , VxRail G560F VCF, VxRail Gen2 Hardware, VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570 VCF, VxRail P570F, VxRail P570F VCF, VxRail P580N, VxRail P580N VCF, VXRAIL P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S570 VCF, VxRail S670, VxRail Software, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570 VCF, VxRail V570F, VxRail V570F VCF, VXRAIL V670F, VxRail VD-4000R, VxRail VD-4000W, VxRail VD-4000Z, VxRail VD-4510C, VxRail VD-4520C, VxRail VD Series Nodes ...
Article Properties
Article Number: 000210329
Article Type: How To
Last Modified: 15 Aug 2024
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.