VCF på VxRail: Erstatt NSX-T Local-Manager selvsignert sertifikat

Bakgrunn:
Vi har forskjellige typer NSX-T-sertifikater.

Sertifikatnavn	Purpose	Utskiftbare	Standard gyldighet
Tomcat	Dette er et API-sertifikat som brukes for ekstern kommunikasjon med individuelle NSX Manager-noder gjennom UI eller API.	Ja	825 dager
MP-klynge	Dette er et API-sertifikat som brukes for ekstern kommunikasjon med NSX Manager-klyngen ved hjelp av klyngen VIP, via UI eller API.	Ja	825 dager
LocalManager	Dette er et plattformsertifikat for hovedidentitet for føderasjon. Hvis du ikke bruker Federation, brukes ikke dette sertifikatet.	Ja	825 dager

For VCF-løsninger:
Tomcat og mp-cluster erstattes med CA-sertifikater signert av VMCA fra vCenter. MP-cluster- og Tomcat-sertifikatene kan fortsatt være der, men blir ikke brukt.

NSX-T Manager med VCF:

• Tomcat - Node1 > brukes ikke
• mp-cluster - VIP > brukes ikke

Byttes ut under opptaket med under:

• CA -Node1
• CA - VIP

Hvis du vil se om sertifikatet blir brukt, bruk følgende API på Postman-plattformen:

GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>

Lokalt ledersertifikat er hovedidentitetssertifikatet som brukes til å kommunisere med andre nettsteder i føderasjonen.

Et NSX-T Federation-miljø inneholder en aktiv og en standby Global Manager-klynge og én eller flere Local Manager-klynger.
 
Hvis du vil sjekke miljøet og finne ut hvor mange lokale lederklynger det er, følger du trinnene nedenfor og tar et skjermbilde:

System >Configuration>Location Location Manager

• Øverst i Local Manager viser den deg hvilken klynge du er logget inn på. I dette eksempelet er vi logget på en Local Manager Cluster.
• Midt på siden vises Global Manager Clusters, hvilken klynge som er Active, og hvilken som er Standby.
• Andre Local Manager Clusters vises nederst under Eksterne områder.

Fremgangsmåte for erstatning av egensignerte sertifikater for lokal leder:

1. Logg på NSX Manager i Local Manager Cluster.
2. Samle inn NSX-T-sikkerhetskopiering før du fortsetter. Dette trinnet er veldig viktig.
   1. System >Livssyklusadministrasjon>Sikkerhetskopiering og gjenoppretting>Start sikkerhetskopiering

3. Kontroller sertifikatene og utløpsdatoen.
   1. Klikk på Sertifikater forsysteminnstillinger>>

Det er ett sertifikat per Local Manager-klynge uavhengig av antall NSX Managers det er i klyngen.

1. Trinn 1: Logg på en hvilken som helst NSX Manager på Local Manager-klynge 1.
2. Trinn 2: Generer ny CSR.
   1. Klikk på Systeminnstillinger >>Sertifikater>CSR-er>genererer CSR

2. Skriv inn fellesnavnet som local-manager.
3. Skriv inn navnet som LocalManager.
4. Resten er informasjon om brukervirksomhet og plassering (Dette kan kopieres fra et gammelt sertifikat som utløper).
5. Klikk på Save (Lagre).

3. Trinn 3: Opprett et selvsignert sertifikat ved hjelp av den genererte CSR-en.
   1. Merk av for den nye CSR-avmerkingsboksen >Generer CSR-selvsigneringssertifikat> for CSR.

2. Kontroller at Servicesertifikatet er satt til "Nei", og klikk på Lagre.
3. Gå tilbake til kategorien Sertifikater , finn det nye sertifikatet og kopier sertifikat-IDen.

4. Trinn 4: Erstatt hovedidentitetsbeviset for den lokale lederen.
   1. Bruker for å installere Postman-plattformen.
   2. I Autorisasjon-fanen velger du Type >grunnleggende autorisasjon.
   3. Skriv inn innloggingsdetaljer for NSX-T Manager.

4. I kategorien Overskrifter endrer du "application/xml" til "application/json."

5. I kategorien Brødtekst velger du POST API-kommando .
   1. Velg rå, og velg deretter JSON.
   2. I boksen ved siden av POST skriver du inn URL https://< nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
   3. I det ovennevnte er URL-adressen IP-en som brukes for enhver NSX-leder i en bestemt Local Manager Cluster.
   4. I kroppsdelen skriver du inn nedenfor i to linjer som vist på skjermbildet:

{ "cert_id": "<certificate id, copied from step 3>",
"service_type": "LOCAL_MANAGER" }

6. Klikk Send og sørg for at du ser resultatet 200 OK.

 

5. Trinn 5: Gjenta trinn 1 > , 4 på hver Local Manager Cluster 2 og 3.

1. Kontroller at sertifikatet ikke lenger er i bruk.
   1. Kopier sertifikat-ID
   2. Åpne postbud
   3. Velg GET API i stedet for POST.
   4. Skriv inn URL https://< nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id>
   5. Se etter "used_by" og bekreft at den har tomme parenteser.

    "used_by" : [ ],
    "resource_type" : "certificate_self_signed",
    "id" : "9cd133ca-32fc-48a2-898b-7acd928512a5",
    "display_name" : "local-manager",
    "description" : "",
    "tags" : [ ],
    "_create_user" : "admin",
    "_create_time" : 1677468138846,
    "_last_modified_user" : "admin",
    "_last_modified_time" : 1677468138846,
    "_system_owned" : false,
    "_protection" : "NOT_PROTECTED",
    "_revision" : 0
  }

2. Gå til Systeminnstillinger >>Sertifikater, > velg ønsket sertifikat.

3. Klikk Slett>slett.

4. Slik bekrefter du at hovedidentiteten fungerer, og bruker de nye sertifikatene:
   1. Åpne postbud
   2. Velg GET.
   3. Kjør URL https://< nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie.
   4. Utdataene skal ligne på nedenfor, "certificate_id" skal vise den nyopprettede sertifikat-ID-en.

For å erstatte Global Manager Certificate, følg samme prosess, men endre "LOCAL_MANAGER" til "GLOBAL_MANAGER" og utfør prosedyren fra Global Manager Cluster.

Se VMware-dokumenter for mer informasjon:

• Typer sertifikater 
• Konfigurere Global Manager og lokale ledere
• Erstatt sertifikater på versjon 3.2 
• Erstatt sertifikater på versjon 3.1
• Opprette en forespørselsfil for sertifikatsignering