Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

VCF na VxRail: Wymiana certyfikatu NSX-T Local-Manager w środowisku VCF

Summary: Ten artykuł zawiera wskazówki dotyczące zastępowania certyfikatu NSX-T Local-Manager z podpisem własnym w środowiskach federacyjnych zarządzanych przez VCF. Upewnij się, że Twój system pozostaje bezpieczny i zgodny z przepisami. ...

This article applies to   This article does not apply to 
Check out resources for

Instructions

Uwaga: Postępuj zgodnie z tym artykułem tylko dla środowisk federacyjnych NSX-T zarządzanych przez VCF!


Opis:

Istnieją różne typy certyfikatów NSX-T zgodnie z poniższym opisem:
 
Nazwa certyfikatu Zastosowanie Wymienny Ważność domyślna
Kocur Jest to certyfikat API używany do komunikacji zewnętrznej z poszczególnymi węzłami NSX Manager za pośrednictwem interfejsu użytkownika lub API. Tak 825 dni
mp-klaster Jest to certyfikat API używany do komunikacji zewnętrznej z klastrem NSX Manager przy użyciu adresu VIP klastra, za pośrednictwem interfejsu użytkownika lub interfejsu API. Tak 825 dni
Menedżer lokalny Jest to certyfikat tożsamości głównej platformy dla federacji. Jeśli nie używasz federacji, ten certyfikat nie jest używany. Tak 825 dni


W przypadku rozwiązań VCF:

Tomcat i mp-cluster zostaną zastąpione certyfikatami CA podpisanymi przez VMCA z vCenter. Certyfikaty mp-cluster i Tomcat mogą nadal istnieć, ale nie są używane.


NSX-T Manager z VCF:

  • Tomcat — węzeł Node1 > nie jest używany
  • mp-cluster - VIP > nie jest używany
Podczas instalacji zastąpiono poniższe:
  • CA — węzeł 1
  • CA — VIP
Jeśli chcesz sprawdzić, czy certyfikat jest używany, uruchom następujący interfejs API na platformie Postman: 
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>

Certyfikat menedżera lokalnego jest certyfikatem tożsamości podmiotu głównego używanym do komunikowania się z innymi lokacjami w federacji.

Środowisko federacji NSX-T zawiera aktywny i rezerwowy klaster Global Manager oraz co najmniej jeden klaster Local Manager.
 
Pokazuje trzy lokalizacje z aktywnymi i rezerwowymi klastrami menedżera globalnego w lokalizacjach 1 i 2 z klastrami Menedżer lokalny we wszystkich trzech lokalizacjach.
Rysunek 1. Pokazuje trzy lokalizacje z aktywnymi i rezerwowymi klastrami menedżera globalnego w lokalizacjach 1 i 2 z klastrami Menedżer lokalny we wszystkich trzech lokalizacjach.


Jak ustalić liczbę klastrów Local Manager:

Aby sprawdzić środowisko i dowiedzieć się, ile jest klastrów Local Manager, wykonaj poniższe kroki i zrzut ekranu:

Z Menedżera lokalizacjikonfiguracji>systemu>:
  • W górnej części Menedżera lokalnego widoczny jest klaster, do którego użytkownik jest zalogowany. W tym przykładzie jesteśmy zalogowani do klastra Local Manager.
  • Na środku strony widoczne są klastry menedżera globalnego oraz klaster aktywny, a który zapasowy.
  • Inne klastry Menedżera lokalnego są widoczne u dołu w sekcji Lokalizacje zdalne.
Menedżer lokalny środowiska klastra
Rysunek 2. Menedżer lokalny środowiska klastra


Procedura zastąpienia certyfikatów z podpisem własnym menedżera lokalnego:

  1. Zaloguj się do NSX Manager w klastrze Local Manager.
  2. Przed kontynuowaniem zbierz kopię zapasową NSX-T. Ten krok jest ważny!
    1. System>Zarządzanie cyklem> życia Tworzenie kopii zapasowych i przywracanie danych>Rozpocznij tworzenie kopii zapasowej
Zbieranie kopii zapasowych NSX-T
Rysunek 3. Zbieranie kopii zapasowych NSX-T.
  1. Sprawdź certyfikaty i datę ważności.
    1. > Kliknij opcję System Settings>Certificates
Poniższy przykład pokazuje na czerwono datę wygaśnięcia certyfikatów lokalnego menedżera:
Data wygaśnięcia certyfikatów lokalnego zarządcy
Rysunek 4. Data wygaśnięcia certyfikatów lokalnego zarządcy

Istnieje jeden certyfikat dla każdego klastra Local Manager, niezależnie od liczby menedżerów NSX w klastrze.
  1. Zaloguj się do dowolnego menedżera NSX Manager w klastrze Local Manager 1.
  2. Wygeneruj nowy CSR.
    1. Kliknij opcję System>Settings>Certyfikaty>>CSRGenerate CSR
Wygeneruj nowy CSR
Rysunek 5. Wygeneruj nowy CSR.
  1. Wprowadź nazwę pospolitą jako local-manager.
  2. Wprowadź nazwę jako LocalManager.
  3. Reszta to dane dotyczące firmy użytkownika i lokalizacji (można je skopiować ze starego wygasającego certyfikatu).
  4. Wybierz przycisk Save.
Wprowadź nazwy CSR i informacje o miejscowości
Rysunek 6. Wprowadź nazwy CSR i informacje o miejscowości.
  1. Utwórz certyfikat z podpisem własnym przy użyciu wygenerowanego CSR.
    1. Kliknij pole > wyboru New CSRGenerate CSR>Self-Sign Certificate for CSR.
Utwórz certyfikat z podpisem własnym
Rysunek 7. Utwórz certyfikat z podpisem własnym.
  1. Upewnij się, że certyfikat serwisowy jest ustawiony na Nie i kliknij przycisk Save.
  2. Wróć do karty Certificates , znajdź nowy certyfikat i skopiuj identyfikator certyfikatu.
Kopiuj nowy identyfikator certyfikatu
Rysunek 8. Kopiuj nowy identyfikator certyfikatu
  1. Wymień certyfikat tożsamości podmiotu zabezpieczeń dla menedżera lokalnego.
    1. Użytkownik do zainstalowania platformy Postman.
    2. Na karcie Autoryzacja wybierz pozycję Typ>uwierzytelniania podstawowego.
    3. Wprowadź dane logowania NSX-T Manager.
Wprowadź dane logowania NSX-T Manager
Rysunek 9. Wprowadź dane logowania NSX-T Manager.
  1. Na karcie Headerszmień wartość "application/xml" na "application/json".
W narzędziu Postman zmień wartość
Rysunek 10. W narzędziu Postman zmień wartość "application/xml" na "application/json"
  1. Na karcie Treść wybierz ikonę POST API .
    1. Wybierz pozycję Raw, a następnie wybierz pozycję JSON.
    2. W polu obok metody POST wpisz adres URL https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
    3. W powyższym przykładzie adres URL jest adresem IP używanym dla dowolnego menedżera NSX w określonym klastrze Local Manager.
    4. W sekcji treści wprowadź poniższe wartości w dwóch wierszach, jak pokazano na zrzucie ekranu:
{ "cert_id": "<certificate id, copied from step 3>",
"service_type": "LOCAL_MANAGER" }
Wprowadź adres URL dowolnego menedżera NSX w określonym klastrze menedżera lokalnego
Rysunek 11. Wprowadź adres URL dowolnego menedżera NSX w określonym klastrze menedżera lokalnego.
  1. Kliknij Wyślij i upewnij się, że widzisz wynik 200 OK.
  1. Powtórz kroki od 1 do 4 dla każdego klastra 2 i 3 menedżera lokalnego.
Po wykonaniu tych kroków utworzono jeden nowy certyfikat w każdym klastrze menedżera lokalnego i zastąpiono certyfikat tożsamości podmiotu zabezpieczeń w każdym klastrze menedżera lokalnego.

Teraz nadszedł czas, aby usunąć stare, wygasające certyfikaty z każdego z trzech klastrów Local Manager.
  1. Sprawdź, czy certyfikat nie jest już używany.
    1. Kopiuj identyfikator certyfikatu
    2. Otwórz listonosza
    3. Wybierz GET API zamiast POST.
    4. Wprowadź adres URL https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id>
    5. Wyszukaj "used_by" i potwierdź, że ma puste nawiasy.
    "used_by" : [ ],
    "resource_type" : "certificate_self_signed",
    "id" : "9cd133ca-32fc-48a2-898b-7acd928512a5",
    "display_name" : "local-manager",
    "description" : "",
    "tags" : [ ],
    "_create_user" : "admin",
    "_create_time" : 1677468138846,
    "_last_modified_user" : "admin",
    "_last_modified_time" : 1677468138846,
    "_system_owned" : false,
    "_protection" : "NOT_PROTECTED",
    "_revision" : 0
  }
  1. Przejdź do >opcji System Settings >Certificates i wybierz wymagany certyfikat.
Wybierz wymagany certyfikat
Rysunek 12. Wybierz żądany certyfikat.
  1. Kliknij Usuń>, Usuń.
Usuń certyfikat
Rysunek 13. Usuń certyfikat.
  1. Upewnij się, że tożsamość podmiotu zabezpieczeń działa i używa nowych certyfikatów:
    1. Otwórz listonosza
    2. Wybierz opcję GET.
    3. Adres URL uruchamiania https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie.
    4. Dane wyjściowe powinny być podobne do poniższych, "certificate_id" powinno pokazywać nowo utworzony identyfikator certyfikatu.
Identyfikator certyfikatu pokazuje nowy identyfikator certyfikatu
Rysunek 14. Identyfikator certyfikatu wyświetla nowy identyfikator certyfikatu.

Additional Information

Wymiana certyfikatów menedżera globalnego:

Aby zastąpić certyfikat menedżera globalnego, należy wykonać ten sam proces, ale zmienić "LOCAL_MANAGER" na "GLOBAL_MANAGER" i wykonać procedurę z poziomu klastra menedżera globalnego.


Inne powiązane artykuły:

Więcej informacji można znaleźć w następujących powiązanych artykułach Broadcom VMware:

Affected Products

VMWare Cloud on Dell EMC VxRail E560F, VMWare Cloud on Dell EMC VxRail E560N, VxRail Appliance Family, VxRail Appliance Series, VxRail D Series Nodes, VxRail D560, VxRail D560F, VxRail E Series Nodes, VxRail E460, VxRail E560

Products

VxRail G410, VxRail G Series Nodes, VxRail E560 VCF, VxRail E560F, VxRail E560F VCF, VxRail E560N, VxRail E560N VCF, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560, VxRail G560 VCF, VxRail G560F , VxRail G560F VCF, VxRail Gen2 Hardware, VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570 VCF, VxRail P570F, VxRail P570F VCF, VxRail P580N, VxRail P580N VCF, VXRAIL P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S570 VCF, VxRail S670, VxRail Software, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570 VCF, VxRail V570F, VxRail V570F VCF, VXRAIL V670F, VxRail VD-4000R, VxRail VD-4000W, VxRail VD-4000Z, VxRail VD-4510C, VxRail VD-4520C, VxRail VD Series Nodes ...