VxRail上のVCF：NSX-T Local-Manager自己署名証明書の置き換え

背景：
さまざまなタイプのNSX-T証明書があります。

証明書名	目的	交換	デフォルトの有効期限
Tomcat	これは、UI または API を介した個々の NSX Manager ノードとの外部通信に使用される API 証明書です。	はい	825日間
MPクラスター	これは、UIまたはAPIを介して、クラスターVIPを使用したNSX Managerクラスターとの外部通信に使用されるAPI証明書です。	はい	825日間
ローカルマネージャー	これは、フェデレーション用のプラットフォーム プリンシパルID証明書です。フェデレーションを使用していない場合、この証明書は使用されません。	はい	825日間

VCFソリューションの場合:
Tomcatとmp-clusterは、vCenterからVMCAによって署名されたCA証明書に置き換えられます。mp-clusterとTomcatの証明書がまだ存在していても、使用されていない可能性があります。

VCFを使用したNSX-T Manager:

• Tomcat - Node1 > が使用されていません
• mp-cluster - VIP > が使用されていない

起動中に以下と置き換え:

• CA - ノード1
• CA - VIP

証明書が使用されているかどうかを確認する場合は、Postman プラットフォームで次の API を使用します。

GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>

ローカル マネージャー証明書は、フェデレーション内の他のサイトとの通信に使用されるプリンシパルID証明書です。

NSX-T フェデレーション環境には、アクティブおよびスタンバイのグローバル マネージャ クラスタと 1 つ以上のローカル マネージャ クラスタが含まれます。
 
環境を確認し、存在するローカル マネージャー クラスターの数を確認するには、次の手順とスクリーンショットに従います。

システム >構成>場所の管理r

• ローカル マネージャーの上部には、ログインしているクラスターが表示されます。この例では、ローカル マネージャー クラスターにログインしています。
• ページの中央には、グローバル マネージャ クラスタと、どのクラスタがアクティブで、どのクラスタがスタンバイかが表示されます。
• その他のローカル マネージャ クラスタは、一番下のRemote Sitesに表示されます。

ローカル マネージャーの自己署名証明書の置き換え手順:

1. ローカル マネージャ クラスタの NSX Manager にログインします。
2. 続行する前に、NSX-Tバックアップを収集します。このステップは 非常に重要です。
   1. システム >ライフサイクル管理>バックアップとリストア>バックアップの開始

3. 証明書と有効期限を確認します。
   1. System >SettingsCertificates>の順にクリックします。

クラスター内のNSX Managerの数に関係なく、ローカル マネージャー クラスターごとに証明書が1つあります。

1. 手順1：ローカル マネージャー クラスター1の任意のNSX Managerにログインします。
2. 手順2：新しいCSRを生成します。
   1. システム >設定>証明書CSRCSR>>の生成をクリックします。

2. 共通名に「local-manager」と入力します。
3. 名前に「LocalManager」と入力します。
4. 残りは、ユーザーのビジネスと場所の詳細です(これは期限切れの古い証明書からコピーできます)。
5. 「Save（保存）」をクリックします。

3. 手順3：生成されたCSRを使用して自己署名証明書を作成します。
   1. 新しい CSR CSR の CSR>自己署名証明書の生成 チェックボックス>をクリックします。

2. Service Certificateが[No]に設定されていることを確認し、[ Save]をクリックします。
3. [証明書]タブに戻り、新しい証明書を見つけて証明書IDをコピーします。

4. 手順4：ローカル マネージャーのプリンシパルID証明書を置き換えます。
   1. Postmanプラットフォームをインストールするユーザー。
   2. [Authorization]タブで、[Type >Basic Auth]を選択します。
   3. NSX-T Managerのログインの詳細を入力します。

4. [ ヘッダー ] タブで、[ application/xml] を [application/json] に変更します。

5. [Body]タブで、[POSTAPI command]を選択します。 
   1. [raw] を選択し、 [JSON] を選択します。
   2. [POST] の横にあるボックスに、「URL https://< nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=」と入力しますset_pi_certificate_for_federation
   3. 上記のURLは、特定のローカル マネージャー クラスター内のNSX Managerに使用されるIPです。
   4. 本文セクションで、スクリーンショットに示すように、以下を2行で入力します。

{ "cert_id": "<certificate id, copied from step 3>",
"service_type": "LOCAL_MANAGER" }

6. [ Send]をクリックして、結果 200 OKが表示されていることを確認します。

 

5. 手順5：各ローカル マネージャー クラスター2および3で手順1 > 、4を繰り返します。

1. その証明書が使用されなくなっていることを確認します。
   1. 証明書IDのコピー
   2. Postman を開く
   3. [POST]ではなく [GET API ]を選択します。
   4. URL https://< nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id> を入力します。
   5. 「used_by」を探し、空の括弧があることを確認します。

    "used_by" : [ ],
    "resource_type" : "certificate_self_signed",
    "id" : "9cd133ca-32fc-48a2-898b-7acd928512a5",
    "display_name" : "local-manager",
    "description" : "",
    "tags" : [ ],
    "_create_user" : "admin",
    "_create_time" : 1677468138846,
    "_last_modified_user" : "admin",
    "_last_modified_time" : 1677468138846,
    "_system_owned" : false,
    "_protection" : "NOT_PROTECTED",
    "_revision" : 0
  }

2. System >SettingsCertificates >>に移動し、必要な証明書を選択します。

3. 削除>削除をクリックします。

4. プリンシパル アイデンティティが機能していて、新しい証明書を使用していることを確認するには、次の手順を実行します。
   1. Postman を開く
   2. [GET] を選択します。
   3. URL https://< nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie を実行します。
   4. 出力は次のようになります。[certificate_id]には、新しく作成された証明書IDが表示されます。

グローバル マネージャ 証明書を置き換えるには、同じプロセスに従いますが、"LOCAL_MANAGER" を "GLOBAL_MANAGER" に変更し、グローバル マネージャ クラスタから手順を実行します。

詳細については、VMwareのドキュメントを参照してください。

• 証明書の種類 
• グローバル マネージャ とローカル マネージャ の構成
• バージョン 3.2 での証明書の置き換え 
• バージョン 3.1 での証明書の置き換え
• 証明書署名要求ファイルの作成