NOT: Bu KB makalesini yalnızca VCF tarafından yönetilen NSX-T federasyon ortamı için izleyin.
Arka plan:
Farklı NSX-T sertifikalarına sahibiz.
Sertifika Adı |
Amaç |
Değiştirilebilir |
Varsayılan Geçerlilik |
Tomcat |
Bu, kullanıcı arayüzü veya API aracılığıyla ayrı NSX Manager düğümleriyle harici iletişim için kullanılan bir API sertifikasıdır. |
Evet |
825 günler |
mp-küme |
Bu, kullanıcı arabirimi veya API aracılığıyla küme VIP'sini kullanarak NSX Manager kümesiyle dış iletişim için kullanılan bir API sertifikasıdır. |
Evet |
825 günler |
Yerel Yönetici |
Bu, Federasyon için bir platform Asıl Kimlik sertifikasıdır. Federasyon kullanmıyorsanız, bu sertifika kullanılmaz. |
Evet |
825 günler |
VCF çözümleri için:
Tomcat ve mp-cluster, vCenter'dan VMCA tarafından imzalanan CA sertifikalarıyla değiştirilir. mp-cluster ve Tomcat sertifikaları hâlâ mevcut olabilir ancak kullanılmıyor olabilir.
VCF ile NSX-T Manager:
- Tomcat - Düğüm1 > kullanılmıyor
- mp-cluster - VIP > kullanılmıyor
Yükseltme sırasında aşağıdakilerle değiştirilir:
Sertifikanın kullanılıp kullanılmadığını görmek istiyorsanız Postman platformunda aşağıdaki API'yi kullanın:
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>
Yerel yönetici sertifikası, Federasyondaki diğer sitelerle iletişim kurmak için kullanılan Asıl Kimlik sertifikasıdır.
NSX-T Federasyon ortamı, bir aktif ve bir beklemedeki Genel Yönetici kümesi ile bir veya daha fazla Yerel Yönetici kümesi içerir.
Şekil 1: Konum 1 ve 2'de etkin ve beklemedeki Genel Müdür kümeleri ile üç konumun tamamında Yerel Yönetici kümeleri gösterir.
Ortamı kontrol etmek ve kaç tane Yerel Yönetici Kümesi olduğunu öğrenmek için aşağıdaki adımları ve ekran görüntüsünü izleyin:
Sistem >
Yapılandırma>
Konumu Yönetimr
- Yerel Yönetici'nin üst kısmında, hangi kümede oturum açtığınız gösterilir. Bu örnekte, bir Local Manager kümesinde oturum açtık.
- Sayfanın ortasında, Genel Yönetici Kümeleri ve hangi kümenin Etkin, hangilerinin Beklemede olduğu gösterilir.
- Diğer Yerel Yönetici Kümeleri, Uzak Siteler'in altında alt kısımda görülür.
Şekil 2: Yerel yönetici küme ortamı
Yerel yönetici kendinden imzalı sertifikaları değiştirme prosedürü:
- Yerel yönetici kümesinde NSX yöneticisinde oturum açın.
- Devam etmeden önce NSX-T yedeklemesini alın. Bu adım çok önemlidir.
- Sistem >Yaşam Döngüsü Yönetimi>Yedekleme ve Geri Yükleme>Yedeklemeyi Başlat
Şekil 3: NSX-T Yedeklemesi Alma
- Sertifikaları ve son kullanma tarihini kontrol edin.
- Sistem >Ayarları>Sertifikalar a tıklayın
Aşağıdaki örnekte yerel yönetici sertifikalarının sona erme tarihi kırmızı renkle gösterilmiştir.
Şekil 4: Yerel yönetici sertifikalarının sona erme tarihi
Kümede bulunan NSX Yöneticisi sayısından bağımsız olarak Yerel Yönetici kümesi başına bir sertifika vardır.
- 1. Adım: Yerel Yönetici kümesi 1'deki herhangi bir NSX Yöneticisinde oturum açın.
- 2. Adım: Yeni CSR oluşturma.
- Sistem >Ayarları>Sertifikalar>CSR'ler CSR Oluştur'a> tıklayın
Şekil 5: Yeni CSR Oluştur
-
Common Name değerini local-manager olarak girin.
-
Adı LocalManager olarak girin.
-
Gerisi kullanıcının işletme ve konum bilgileridir (Bu, süresi dolan eski sertifikadan kopyalanabilir.)
-
Save (Kaydet) öğesine tıklayın.
Şekil 6: CSR Adlarını ve Konum Bilgilerini girin.
- 3. Adım: Oluşturulan CSR'yi kullanarak Kendinden İmzalı Sertifika oluşturun.
-
Generate CSR Self-sign Certificate for CSR (CSR için CSR> Self-Sign Sertifikası Oluştur) yeni CSR onay kutusuna > tıklayın.
![Otomatik imzalı sertifika oluşturma](https://supportkb.dell.com/img/ka06P000000YXyeQAG/ka06P000000YXyeQAG_tr_7.png)
Şekil 7: Otomatik imzalı sertifika oluşturma
- Service Certificate öğesinin "No" olarak ayarlandığından emin olun ve Save düğmesine tıklayın.
- Certificates sekmesine dönün, yeni Sertifikayı bulun ve Certificate ID öğesini kopyalayın.
Şekil 8: Yeni Sertifika Kimliğini Kopyala
- 4. Adım: Yerel Müdürün Asıl Kimlik sertifikasını değiştirin.
- Postman platformunu yükleyecek kullanıcı.
- Yetkilendirme sekmesinde Temel Kimlik DoğrulamaYazın'ı > seçin.
- NSX-T Yöneticisi oturum açma ayrıntılarını girin.
Şekil 9: NSX-T Yöneticisi Oturum Açma Ayrıntılarını Girin
- Headers sekmesinde "application/xml" öğesini "application/json" olarak değiştirin.
Şekil 10: Postman'de "application/xml"yi "application/json" olarak değiştirin
- Gövde sekmesinde POSTAPI komutunu seçin.
- Ham ve ardından JSON'u seçin.
- POST'un yanındaki kutuya https://< nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=URL adresini girin set_pi_certificate_for_federation
- Yukarıdaki URL, belirli bir Yerel Yönetici Kümesi içindeki herhangi bir NSX yöneticisi için kullanılan IP'dir.
- Gövde bölümünde, ekran görüntüsünde görüldüğü gibi aşağıdakileri iki satırda girin:
{ "cert_id": "<certificate id, copied from step 3>",
"service_type": "LOCAL_MANAGER" }
Şekil 11: Belirli bir yerel yönetici kümesindeki herhangi bir NSX yöneticisinin URL'sini girin.
- Gönder'e tıklayın ve sonucu 200 OK olarak gördüğünüzden emin olun.
- 5. Adım: Her bir Yerel Yönetici Kümesi 2 ve 3'te 1 > , 4. Adımları tekrarlayın.
Bu adımlar tamamlandıktan sonra, her Yerel Yönetici Kümesinde bir yeni sertifika oluşturdunuz ve her Yerel Yönetici Kümesinde Asıl Kimlik Sertifikasını değiştirdiniz.
Şimdi, süresi dolmak üzere olan eski sertifikaları üç Yerel Yönetici Kümesinin her birinden silme zamanı gelmiştir.
-
Sertifikanın artık kullanılmadığını kontrol edin.
-
Sertifika Kimliğini Kopyala
-
Postacıyı aç
-
POST yerine GET API'yi seçin.
-
URL https://< nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id> girin
-
used_by" ifadesini bulun ve içinde boş parantez olduğunu doğrulayın.
"used_by" : [ ],
"resource_type" : "certificate_self_signed",
"id" : "9cd133ca-32fc-48a2-898b-7acd928512a5",
"display_name" : "local-manager",
"description" : "",
"tags" : [ ],
"_create_user" : "admin",
"_create_time" : 1677468138846,
"_last_modified_user" : "admin",
"_last_modified_time" : 1677468138846,
"_system_owned" : false,
"_protection" : "NOT_PROTECTED",
"_revision" : 0
}
- System >Settings >Certificates > bölümüne gidin ve gerekli sertifikayı seçin.
![Gerekli sertifikayı seçin](https://supportkb.dell.com/img/ka06P000000YXyeQAG/ka06P000000YXyeQAG_tr_4.jpeg)
Şekil 12: Gerekli sertifikayı seçin.
- Delete>Delete ögesine tıklayın.
Şekil 13: Sertifikayı Silme
- Ana Kimliğin çalıştığını ve yeni sertifikaları kullandığını doğrulamak için:
-
Postacıyı aç
-
GET'i seçin.
-
URL https://< nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie" komutunu çalıştırın.
-
Çıktı aşağıdakine benzer olmalıdır. "certificate_id" yeni oluşturulan sertifika kimliğini göstermelidir.
Şekil 14: Sertifika Kimliği, yeni sertifika kimliğini gösterir