VCF on VxRail: Byt ut NSX-T Local-Manager-certifikat i VCF-miljö
Summary:
Den här artikeln är en guide till hur du ersätter det självsignerade NSX-T Local-Manager-certifikatet i VCF-hanterade federationsmiljöer. Se till att systemet förblir säkert och
kompatibelt.
...
Please select a product to check article relevancy
This article applies to This article does not apply to
Obs! Följ endast den här artikeln för VCF-hanterade NSX-T-federationsmiljöer!
Bakgrund:
Det finns olika typer av NSX-T-certifikat som beskrivs nedan:
Certifikatets namn
Syfte
Ersättlig
Standardgiltighet
Hankatt
Det här är ett API-certifikat som används för extern kommunikation med enskilda NSX Manager-noder via användargränssnittet eller API:et.
Ja
825 DAGAR
mp-kluster
Det här är ett API-certifikat som används för extern kommunikation med NSX Manager-klustret med klustrets VIP, via användargränssnittet eller API:et.
Ja
825 DAGAR
LocalManager (på engelska)
Det här är ett plattformsidentitetscertifikat för huvudnamn för federationen. Om du inte använder federation används inte det här certifikatet.
Ja
825 DAGAR
För VCF-lösningar:
Tomcat och mp-cluster ersätts med CA-certifikat signerade av VMCA från vCenter. Certifikaten mp-cluster och Tomcat kan fortfarande finnas kvar, men de används inte.
NSX-T Manager med VCF:
Tomcat – nod 1 > används inte
mp-cluster – VIP > används inte
Ersattes under installationen med följande:
CA – nod 1
CA – VIP
Om du vill kontrollera om certifikatet används kör du följande API på Postman-plattformen:
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>
Lokalt hanterarcertifikat är det huvudsakliga identitetscertifikatet som används för att kommunicera med andra platser i federationen.
En NSX-T-federationsmiljö innehåller ett aktivt och vänteläge Global Manager-kluster och ett eller flera Local Manager-kluster.
Bild 1: Visar tre platser med aktiva och vänteläge Global Manager-kluster på plats 1 och 2 med Local Manager-kluster på alla tre platserna.
Så här tar du reda på antalet Local Manager-kluster:
För att kontrollera miljön och ta reda på hur många Local Manager-kluster det finns, följ stegen nedan och skärmdumpen:
Från System>Configuration>Location Manager:
Högst upp i Local Manager visas vilket kluster du är inloggad på. I det här exemplet är vi inloggade i ett lokalt hanterarkluster.
I mitten av sidan visas Global Manager-klustren och vilket kluster som är aktivt och vilket som är vänteläge.
Andra Local Manager-kluster visas längst ned under Fjärrplatser.
Bild 2: Klustermiljö för lokal chef
Procedur för att ersätta självsignerade certifikat för lokala hanterare:
Logga in på NSX Manager i klustret Local Manager.
Hämta en NSX-T-säkerhetskopia innan du fortsätter. Detta steg är viktigt!
System>Livscykelhantering>Säkerhetskopiering och återställning>Starta säkerhetskopiering
Bild 3: Samla in NSX-T-säkerhetskopiering.
Kontrollera certifikaten och utgångsdatumet.
Klicka på Systeminställningar>>Certifikat
I exemplet nedan visas förfallodatumet för certifikat för lokala hanterare i rött:
Bild 4: Utgångsdatum för certifikat för lokala hanterare
Det finns ett certifikat per Local Manager-kluster oavsett hur många NSX-hanterare som finns i klustret.
Logga in på valfri NSX Manager på Local Manager-kluster 1.
Generera en ny CSR.
Klicka på Systeminställningar>>Certifikat>CSRgenererar CSR>
Bild 5: Generera en ny CSR.
Ange det gemensamma namnet som local-manager.
Ange namnet som LocalManager.
Resten är användarens företags- och platsinformation (detta kan kopieras från ett gammalt utgånget certifikat.)
Klicka på Save.
Bild 6: Ange CSR-namn och ortsinformation.
Skapa ett självsignerat certifikat med hjälp av genererad CSR.
Klicka på kryssrutan >Ny CSR Generera CSR-självsigneringscertifikat> för CSR.
Bild 7: Skapa ett självsignerat certifikat.
Kontrollera att Servicecertifikatet är inställt på Nej och klicka på Spara.
Gå tillbaka till fliken Certifikat, leta reda på det nya certifikatet och kopiera certifikat-ID.
Bild 8: Kopiera nytt certifikat-ID
Ersätt huvudidentitetscertifikatet för den lokala chefen.
Användaren för att installera Postman-plattformen.
På fliken Auktorisering väljer du Skriv>grundläggande autentisering.
Ange inloggningsuppgifter för NSX-T Manager.
Bild 9: Ange inloggningsuppgifter för NSX-T Manager.
På fliken Rubrikerändrar du "application/xml" till "application/json".
Bild 10: I Postman ändrar du "application/xml" till "application/json"
På fliken Brödtext väljer du POST APIbefallning.
Välj Raw och välj sedan JSON.
I rutan bredvid POST anger du URLhttps://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
I ovanstående är URL:en den IP-adress som används för alla NSX-hanterare inom ett specifikt lokalt hanterarkluster.
I brödtextavsnittet anger du nedanstående på två rader som visas på skärmbilden:
Bild 11: Ange URL för alla NSX Manager i ett specifikt lokalt hanterarkluster.
Klicka på Skicka och se till att du ser resultatet 200 OK.
Upprepa steg 1 till 4 på varje Local Manager-kluster 2 och 3.
När de här stegen är slutförda har du skapat ett nytt certifikat i varje lokalt hanterarkluster och ersatt huvudidentitetscertifikatet i varje lokalt hanterarkluster.
Det är nu dags att ta bort de gamla utgångna certifikaten från vart och ett av de tre Local Manager-klustren.
Gå till Systeminställningar >>Certifikat och välj det certifikat som krävs.
Bild 12: Välj det certifikat som krävs.
Klicka på Ta bort>Ta bort.
Bild 13: Ta bort certifikat.
Bekräfta att huvudidentiteten fungerar och använder de nya certifikaten:
Öppna Postman
Välj GET.
Kör URL https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie.
Utdata bör likna nedanstående, "certificate_id" bör visa det nyligen skapade certifikat-ID:t.
Bild 14: Certifikat-ID visar det nya certifikat-ID:t.
Additional Information
Ersätta globala hanterarcertifikat:
Om du vill byta ut Global Manager-certifikatet följer du samma process men ändrar "LOCAL_MANAGER" till "GLOBAL_MANAGER" och utför proceduren från Global Manager-klustret.
Andra relaterade artiklar:
Mer information finns i de relaterade Broadcom VMware-artiklarna: