VCF на VxRail: Замінено сертифікат локального менеджера NSX-T у середовищі VCF

Тло:

Існують різні типи сертифікатів NSX-T, як описано нижче:
 

Назва сертифіката	Мета	Змінні	Термін дії за замовчуванням
Томкат	Це сертифікат API, який використовується для зовнішнього зв'язку з окремими вузлами NSX Manager через UI або API.	Так	825 днів
МП-кластер	Це сертифікат API, який використовується для зовнішнього зв'язку з кластером NSX Manager за допомогою кластера VIP, через UI або API.	Так	825 днів
Локальний менеджер	Це сертифікат довірителя платформи для Федерації. Якщо ви не користуєтеся Федерацією, цей сертифікат не використовується.	Так	825 днів

Для VCF-рішень:

Tomcat і mp-cluster замінюються на сертифікати CA, підписані VMCA від vCenter. Сертифікати mp-cluster і Tomcat можуть ще бути, але вони не використовуються.

Менеджер NSX-T з VCF:

• Tomcat - Node1 > не використовується
• mp-cluster - VIP > не використовується

Замінюється під час встановлення на наступне:

• ЦС - Вузол1
• Каліфорнія - VIP

Якщо ви хочете перевірити, чи використовується сертифікат, запустіть наступний API на платформі Postman:

GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>

Сертифікат local-manager — це сертифікат Principal Identity, який використовується для зв'язку з іншими сайтами у Федерації.

Середовище федерації NSX-T містить активний і резервний кластер Global Manager, а також один або кілька кластерів Local Manager.
 

Як визначити кількість кластерів локальних менеджерів:

Щоб перевірити оточення та дізнатися, скільки існує кластерів локального менеджера, дотримуйтесь наведених нижче кроків та знімка екрана:

З Диспетчера розташуванняконфігурації системи>>:

• У верхній частині локального менеджера він показує, в якому кластері ви ввійшли в систему. У цьому прикладі ми входимо в кластер локальних менеджерів.
• Посередині сторінки відображається кластери глобального менеджера, а також який кластер активний, а який – резервний.
• Інші кластери локальних менеджерів відображаються внизу під пунктом «Віддалені сайти».

Процедура заміни самопідписаних сертифікатів local-manager:

1. Увійдіть в NSX Manager в кластері локальних менеджерів.
2. Перш ніж продовжити, зберіть резервну копію NSX-T. Цей крок важливий!
   1. Система> Управління >життєвим цикломРезервне копіювання та відновлення>Запустити резервне копіювання

3. Перевірте сертифікати та термін придатності.
   1. Клацніть «Сертифікати системних>параметрів>»

На кожен кластер локальних менеджерів припадає один сертифікат, незалежно від кількості менеджерів NSX у кластері.

1. Увійдіть у будь-який NSX Manager на кластері Local Manager 1.
2. Згенеруйте новий CSR.
   1. Натисніть «Системні>параметри>» Сертифікати>>CSRСтворення CSR

2. Введіть Common Name як local-manager.
3. Введіть ім'я як LocalManager.
4. Решта – це відомості про компанію користувача та місцезнаходження (це можна скопіювати зі старого сертифіката, термін дії якого закінчується).
5. Натисніть Зберегти.

3. Створіть самопідписаний сертифікат за допомогою згенерованого CSR.
   1. Установіть прапорець >Створитисертифікат самопідписуCSR для CSR>.

2. Переконайтеся, що для сертифіката служби встановлено значення Ні, і натисніть Зберегти.
3. Поверніться на вкладку «Сертифікати », знайдіть «Новий сертифікат » і «Копіювати ідентифікатор сертифіката».

4. Замініть сертифікат Principal Identity для Local Manager.
   1. Користувач для встановлення платформи Postman.
   2. У вкладці Авторизація виберіть Type>Basic Auth.
   3. Введіть дані для входу в NSX-T Manager.

4. У вкладці Заголовкизмініть "application/xml" на "application/json".

5. На вкладці Тіло виберіть піктограму POST API команда.
   1. Виберіть Raw, а потім виберіть JSON.
   2. У полі поруч із POST введіть URL-адресу https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
   3. У наведеному вище розділі URL – це IP-адреса, яка використовується для будь-якого менеджера NSX у певному кластері локальних менеджерів.
   4. У розділі тіло введіть наведене нижче у два рядки, як показано на скріншоті:

{ "cert_id": "<certificate id, copied from step 3>",
"service_type": "LOCAL_MANAGER" }

6. Натисніть «Відправити» і переконайтеся, що ви бачите результат 200 OK.

5. Повторіть кроки з 1 по 4 для кожного кластера локального менеджера 2 і 3.

Після виконання цих кроків ви створюєте по одному новому сертифікату на кожному кластері локального менеджера та замінюєте сертифікат профілю на кожному кластері локального менеджера.

Настав час видалити старі сертифікати, термін дії яких закінчується, з кожного з трьох кластерів локальних менеджерів.

1. Переконайтеся, що сертифікат більше не використовується.
   1. Скопіювати ідентифікатор сертифіката
   2. Відкрийте Postman
   3. Виберіть GET API замість POST.
   4. Введіть URL-адресу https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id>
   5. Знайдіть «used_by» і переконайтеся, що в ньому є порожні дужки.

    "used_by" : [ ],
    "resource_type" : "certificate_self_signed",
    "id" : "9cd133ca-32fc-48a2-898b-7acd928512a5",
    "display_name" : "local-manager",
    "description" : "",
    "tags" : [ ],
    "_create_user" : "admin",
    "_create_time" : 1677468138846,
    "_last_modified_user" : "admin",
    "_last_modified_time" : 1677468138846,
    "_system_owned" : false,
    "_protection" : "NOT_PROTECTED",
    "_revision" : 0
  }

2. Перейдіть до розділу «Сертифікати системних >параметрів>» і виберіть потрібний сертифікат.

3. Натисніть «Видалити», «Видалити>».

4. Підтвердьте, що Principal Identity працює та використовує нові сертифікати:
   1. Відкрийте Postman
   2. Виберіть ОТРИМАТИ.
   3. URL-адреса запуску https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie.
   4. Виведення має бути подібним до наведеного нижче, "certificate_id" має показувати щойно створений ідентифікатор сертифіката.

Заміна сертифікатів Global-manager:

Щоб замінити сертифікат глобального менеджера, виконайте ту саму процедуру, але змініть «LOCAL_MANAGER» на «GLOBAL_MANAGER» і виконайте процедуру з Глобального кластера менеджерів.

Інші статті по темі:

Перегляньте ці пов'язані статті Broadcom VMware для отримання додаткової інформації:

• Види сертифікатів 
• Налаштування глобального менеджера та локальних менеджерів
• Заміна сертифікатів у версії 3.2  
• Заміна сертифікатів у версії 3.1
• Створення файлу запиту на підписання сертифіката 
• Як поновити сертифікат NSX-t-superuser-certificate, який використовується користувачем Principal Identity

VxRail G410, VxRail G Series Nodes, VxRail E560 VCF, VxRail E560F, VxRail E560F VCF, VxRail E560N, VxRail E560N VCF, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560, VxRail G560 VCF, VxRail G560F , VxRail G560F VCF, VxRail Gen2 Hardware, VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570 VCF, VxRail P570F, VxRail P570F VCF, VxRail P580N, VxRail P580N VCF, VXRAIL P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S570 VCF, VxRail S670, VxRail Software, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570 VCF, VxRail V570F, VxRail V570F VCF, VXRAIL V670F, VxRail VD-4000R, VxRail VD-4000W, VxRail VD-4000Z, VxRail VD-4510C, VxRail VD-4520C, VxRail VD Series Nodes ... View More View Less