VxRail üzerinde VCF: NSX-T Yerel Yönetici Kendinden İmzalı Sertifikasını Değiştirme

Arka plan:
Farklı NSX-T sertifikalarına sahibiz.

Sertifika Adı	Amaç	Değiştirilebilir	Varsayılan Geçerlilik
Tomcat	Bu, kullanıcı arayüzü veya API aracılığıyla ayrı NSX Manager düğümleriyle harici iletişim için kullanılan bir API sertifikasıdır.	Evet	825 günler
mp-küme	Bu, kullanıcı arabirimi veya API aracılığıyla küme VIP'sini kullanarak NSX Manager kümesiyle dış iletişim için kullanılan bir API sertifikasıdır.	Evet	825 günler
Yerel Yönetici	Bu, Federasyon için bir platform Asıl Kimlik sertifikasıdır. Federasyon kullanmıyorsanız, bu sertifika kullanılmaz.	Evet	825 günler

VCF çözümleri için:
Tomcat ve mp-cluster, vCenter'dan VMCA tarafından imzalanan CA sertifikalarıyla değiştirilir. mp-cluster ve Tomcat sertifikaları hâlâ mevcut olabilir ancak kullanılmıyor olabilir.

VCF ile NSX-T Manager:

• Tomcat - Düğüm1 > kullanılmıyor
• mp-cluster - VIP > kullanılmıyor

Yükseltme sırasında aşağıdakilerle değiştirilir:

• CA -Düğüm1
• CA - VIP

Sertifikanın kullanılıp kullanılmadığını görmek istiyorsanız Postman platformunda aşağıdaki API'yi kullanın:

GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>

Yerel yönetici sertifikası, Federasyondaki diğer sitelerle iletişim kurmak için kullanılan Asıl Kimlik sertifikasıdır.

NSX-T Federasyon ortamı, bir aktif ve bir beklemedeki Genel Yönetici kümesi ile bir veya daha fazla Yerel Yönetici kümesi içerir.
 
Ortamı kontrol etmek ve kaç tane Yerel Yönetici Kümesi olduğunu öğrenmek için aşağıdaki adımları ve ekran görüntüsünü izleyin:

Sistem >Yapılandırma>Konumu Yönetimr

• Yerel Yönetici'nin üst kısmında, hangi kümede oturum açtığınız gösterilir. Bu örnekte, bir Local Manager kümesinde oturum açtık.
• Sayfanın ortasında, Genel Yönetici Kümeleri ve hangi kümenin Etkin, hangilerinin Beklemede olduğu gösterilir.
• Diğer Yerel Yönetici Kümeleri, Uzak Siteler'in altında alt kısımda görülür.

Yerel yönetici kendinden imzalı sertifikaları değiştirme prosedürü:

1. Yerel yönetici kümesinde NSX yöneticisinde oturum açın.
2. Devam etmeden önce NSX-T yedeklemesini alın. Bu adım çok önemlidir.
   1. Sistem >Yaşam Döngüsü Yönetimi>Yedekleme ve Geri Yükleme>Yedeklemeyi Başlat

3. Sertifikaları ve son kullanma tarihini kontrol edin.
   1. Sistem >Ayarları>Sertifikalar a tıklayın

Kümede bulunan NSX Yöneticisi sayısından bağımsız olarak Yerel Yönetici kümesi başına bir sertifika vardır.

1. 1. Adım: Yerel Yönetici kümesi 1'deki herhangi bir NSX Yöneticisinde oturum açın.
2. 2. Adım: Yeni CSR oluşturma.
   1. Sistem >Ayarları>Sertifikalar>CSR'ler CSR Oluştur'a> tıklayın

2. Common Name değerini local-manager olarak girin.
3. Adı LocalManager olarak girin.
4. Gerisi kullanıcının işletme ve konum bilgileridir (Bu, süresi dolan eski sertifikadan kopyalanabilir.)
5. Save (Kaydet) öğesine tıklayın.

3. 3. Adım: Oluşturulan CSR'yi kullanarak Kendinden İmzalı Sertifika oluşturun.
   1. Generate CSR Self-sign Certificate for CSR (CSR için CSR> Self-Sign Sertifikası Oluştur) yeni CSR onay kutusuna > tıklayın.

2. Service Certificate öğesinin "No" olarak ayarlandığından emin olun ve Save düğmesine tıklayın.
3. Certificates sekmesine dönün, yeni Sertifikayı bulun ve Certificate ID öğesini kopyalayın.

4. 4. Adım: Yerel Müdürün Asıl Kimlik sertifikasını değiştirin.
   1. Postman platformunu yükleyecek kullanıcı.
   2. Yetkilendirme sekmesinde Temel Kimlik DoğrulamaYazın'ı > seçin.
   3. NSX-T Yöneticisi oturum açma ayrıntılarını girin.

4. Headers sekmesinde "application/xml" öğesini "application/json" olarak değiştirin.

5. Gövde sekmesinde POSTAPI komutunu seçin. 
   1. Ham ve ardından JSON'u seçin.
   2. POST'un yanındaki kutuya https://< nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=URL adresini girin set_pi_certificate_for_federation
   3. Yukarıdaki URL, belirli bir Yerel Yönetici Kümesi içindeki herhangi bir NSX yöneticisi için kullanılan IP'dir.
   4. Gövde bölümünde, ekran görüntüsünde görüldüğü gibi aşağıdakileri iki satırda girin:

{ "cert_id": "<certificate id, copied from step 3>",
"service_type": "LOCAL_MANAGER" }

6. Gönder'e tıklayın ve sonucu 200 OK olarak gördüğünüzden emin olun.

 

5. 5. Adım: Her bir Yerel Yönetici Kümesi 2 ve 3'te 1 > , 4. Adımları tekrarlayın.

1. Sertifikanın artık kullanılmadığını kontrol edin.
   1. Sertifika Kimliğini Kopyala
   2. Postacıyı aç
   3. POST yerine GET API'yi seçin.
   4. URL https://< nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id> girin
   5. used_by" ifadesini bulun ve içinde boş parantez olduğunu doğrulayın.

    "used_by" : [ ],
    "resource_type" : "certificate_self_signed",
    "id" : "9cd133ca-32fc-48a2-898b-7acd928512a5",
    "display_name" : "local-manager",
    "description" : "",
    "tags" : [ ],
    "_create_user" : "admin",
    "_create_time" : 1677468138846,
    "_last_modified_user" : "admin",
    "_last_modified_time" : 1677468138846,
    "_system_owned" : false,
    "_protection" : "NOT_PROTECTED",
    "_revision" : 0
  }

2. System >Settings >Certificates > bölümüne gidin ve gerekli sertifikayı seçin.

3. Delete>Delete ögesine tıklayın.

4. Ana Kimliğin çalıştığını ve yeni sertifikaları kullandığını doğrulamak için:
   1. Postacıyı aç
   2. GET'i seçin.
   3. URL https://< nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie" komutunu çalıştırın.
   4. Çıktı aşağıdakine benzer olmalıdır. "certificate_id" yeni oluşturulan sertifika kimliğini göstermelidir.

Genel Müdür Sertifikasını değiştirmek için aynı süreci izleyin ancak "LOCAL_MANAGER" öğesini "GLOBAL_MANAGER" olarak değiştirin ve prosedürü Genel Yönetici Kümesinden gerçekleştirin.

Daha fazla bilgi için VMware belgelerine bakın:

• Sertifika Türleri 
• Genel Müdür ve Yerel Müdürleri Yapılandırma
• Sürüm 3.2'de sertifikaları değiştirme 
• Sürüm 3.1'de sertifikaları değiştirme
• Sertifika İmzalama İsteği Dosyası Oluşturma