メモ: VCF管理対象NSX-Tフェデレーション環境については、このKB記事のみに従ってください。
背景:
さまざまなタイプのNSX-T証明書があります。
証明書名 |
目的 |
交換 |
デフォルトの有効期限 |
Tomcat |
これは、UI または API を介した個々の NSX Manager ノードとの外部通信に使用される API 証明書です。 |
はい |
825日間 |
MPクラスター |
これは、UIまたはAPIを介して、クラスターVIPを使用したNSX Managerクラスターとの外部通信に使用されるAPI証明書です。 |
はい |
825日間 |
ローカルマネージャー |
これは、フェデレーション用のプラットフォーム プリンシパルID証明書です。フェデレーションを使用していない場合、この証明書は使用されません。 |
はい |
825日間 |
VCFソリューションの場合:
Tomcatとmp-clusterは、vCenterからVMCAによって署名されたCA証明書に置き換えられます。mp-clusterとTomcatの証明書がまだ存在していても、使用されていない可能性があります。
VCFを使用したNSX-T Manager:
- Tomcat - Node1 > が使用されていません
- mp-cluster - VIP > が使用されていない
起動中に以下と置き換え:
証明書が使用されているかどうかを確認する場合は、Postman プラットフォームで次の API を使用します。
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>
ローカル マネージャー証明書は、フェデレーション内の他のサイトとの通信に使用されるプリンシパルID証明書です。
NSX-T フェデレーション環境には、アクティブおよびスタンバイのグローバル マネージャ クラスタと 1 つ以上のローカル マネージャ クラスタが含まれます。
図1: 場所 1 と 2 にアクティブおよびスタンバイのグローバル マネージャ クラスタがある 3 つの場所と、3 つの場所すべてにローカル マネージャ クラスタがある 3 つの場所を表示します。
環境を確認し、存在するローカル マネージャー クラスターの数を確認するには、次の手順とスクリーンショットに従います。
システム >
構成>
場所の管理r
- ローカル マネージャーの上部には、ログインしているクラスターが表示されます。この例では、ローカル マネージャー クラスターにログインしています。
- ページの中央には、グローバル マネージャ クラスタと、どのクラスタがアクティブで、どのクラスタがスタンバイかが表示されます。
- その他のローカル マネージャ クラスタは、一番下のRemote Sitesに表示されます。
図2:ローカル マネージャーのクラスター環境
ローカル マネージャーの自己署名証明書の置き換え手順:
- ローカル マネージャ クラスタの NSX Manager にログインします。
- 続行する前に、NSX-Tバックアップを収集します。このステップは 非常に重要です。
- システム >ライフサイクル管理>バックアップとリストア>バックアップの開始
図3:NSX-Tバックアップの収集
- 証明書と有効期限を確認します。
- System >SettingsCertificates>の順にクリックします。
次の例は、ローカル マネージャー証明書の有効期限を赤で示しています。
図4:ローカルマネージャ証明書の有効期限
クラスター内のNSX Managerの数に関係なく、ローカル マネージャー クラスターごとに証明書が1つあります。
- 手順1:ローカル マネージャー クラスター1の任意のNSX Managerにログインします。
- 手順2:新しいCSRを生成します。
- システム >設定>証明書CSRCSR>>の生成をクリックします。
図5:新しい CSR の生成
-
共通名に「local-manager」と入力します。
-
名前に「LocalManager」と入力します。
-
残りは、ユーザーのビジネスと場所の詳細です(これは期限切れの古い証明書からコピーできます)。
-
「Save(保存)」をクリックします。
図6:CSR名と地域情報を入力します。
- 手順3:生成されたCSRを使用して自己署名証明書を作成します。
-
新しい CSR CSR の CSR>自己署名証明書の生成 チェックボックス>をクリックします。
![自己署名証明書の作成](https://supportkb.dell.com/img/ka06P000000YXylQAG/ka06P000000YXylQAG_ja_7.png)
図7:自己署名証明書の作成
- Service Certificateが[No]に設定されていることを確認し、[ Save]をクリックします。
- [証明書]タブに戻り、新しい証明書を見つけて証明書IDをコピーします。
図8:新しい証明書IDのコピー
- 手順4:ローカル マネージャーのプリンシパルID証明書を置き換えます。
- Postmanプラットフォームをインストールするユーザー。
- [Authorization]タブで、[Type >Basic Auth]を選択します。
- NSX-T Managerのログインの詳細を入力します。
図9:NSX-T Managerログイン詳細の入力
- [ ヘッダー ] タブで、[ application/xml] を [application/json] に変更します。
図10:Postmanで、「application/xml」を「application/json」に変更します。
- [Body]タブで、[POSTAPI command]を選択します。
- [raw] を選択し、 [JSON] を選択します。
- [POST] の横にあるボックスに、「URL https://< nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=」と入力しますset_pi_certificate_for_federation
- 上記のURLは、特定のローカル マネージャー クラスター内のNSX Managerに使用されるIPです。
- 本文セクションで、スクリーンショットに示すように、以下を2行で入力します。
{ "cert_id": "<certificate id, copied from step 3>",
"service_type": "LOCAL_MANAGER" }
図11:特定のローカル マネージャ クラスタ内の任意の NSX Manager の URL を入力します。
- [ Send]をクリックして、結果 200 OKが表示されていることを確認します。
- 手順5:各ローカル マネージャー クラスター2および3で手順1 > 、4を繰り返します。
これらの手順が完了したら、各ローカル マネージャー クラスターに新しい証明書を 1 つ作成し、各ローカル マネージャー クラスターのプリンシパル ID 証明書を置き換えました。
ここで、3つのローカル マネージャー クラスターのそれぞれから、期限切れの古い証明書を削除します。
-
その証明書が使用されなくなっていることを確認します。
-
証明書IDのコピー
-
Postman を開く
-
[POST]ではなく [GET API ]を選択します。
-
URL https://< nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id> を入力します。
-
「used_by」を探し、空の括弧があることを確認します。
"used_by" : [ ],
"resource_type" : "certificate_self_signed",
"id" : "9cd133ca-32fc-48a2-898b-7acd928512a5",
"display_name" : "local-manager",
"description" : "",
"tags" : [ ],
"_create_user" : "admin",
"_create_time" : 1677468138846,
"_last_modified_user" : "admin",
"_last_modified_time" : 1677468138846,
"_system_owned" : false,
"_protection" : "NOT_PROTECTED",
"_revision" : 0
}
- System >SettingsCertificates >>に移動し、必要な証明書を選択します。
![必要な証明書の選択](https://supportkb.dell.com/img/ka06P000000YXylQAG/ka06P000000YXylQAG_ja_4.jpeg)
図12:必要な証明書を選択します。
- 削除>削除をクリックします。
図13:証明書の削除
- プリンシパル アイデンティティが機能していて、新しい証明書を使用していることを確認するには、次の手順を実行します。
-
Postman を開く
-
[GET] を選択します。
-
URL https://< nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie を実行します。
-
出力は次のようになります。[certificate_id]には、新しく作成された証明書IDが表示されます。
図14:[Certificate ID]には、新しい証明書IDが表示されます
グローバル マネージャ 証明書を置き換えるには、同じプロセスに従いますが、"LOCAL_MANAGER" を "GLOBAL_MANAGER" に変更し、グローバル マネージャ クラスタから手順を実行します。
詳細については、VMwareのドキュメントを参照してください。