VCF on VxRail：替换 VCF 环境中的 NSX-T Local-Manager 证书

背景：

有不同类型的 NSX-T 证书，如下所述：
 

证书名称	目的	更换	默认有效性
Tomcat	这是一个 API 证书，用于通过 UI 或 API 与各个 NSX Manager 节点进行外部通信。	是	825天
MP-群集	这是一个 API 证书，用于通过 UI 或 API 使用群集 VIP 与 NSX Manager 群集进行外部通信。	是	825天
LocalManager	这是联合的平台主体身份证书。如果不使用联合身份验证，则不会使用此证书。	是	825天

对于 VCF 解决方案：

Tomcat 和 mp-cluster 替换为由 vCenter 中的 VMCA 签名的 CA 证书。mp-cluster 和 Tomcat 证书可能仍然存在，但未被使用。

具有 VCF 的 NSX-T Manager：

• Tomcat — 未使用节点 1 >
• mp-cluster - 未使用 VIP >

在安装过程中更换了以下内容：

• CA — 节点 1
• CA - VIP

如果要检查证书是否正在使用，请在 Postman 平台上运行以下 API：

GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>

本地管理器证书是用于与联盟中的其他站点通信的主体身份证书。

NSX-T 联合环境包含一个活动和备用全局管理器群集以及一个或多个本地管理器群集。
 

如何确定本地管理器群集的数量：

要检查环境并了解有多少个本地管理器群集，请按照以下步骤和屏幕截图操作：

从 系统>配置>位置管理器：

• 在本地管理器的顶部，它显示您登录的群集。在此示例中，我们登录到本地管理器群集。
• 在页面中间，它显示 全局管理器群集，以及哪个群集处于活动状态，哪个群集处于备用状态。
• 在底部 的 Remote Sites 下可以看到其他本地管理器群集。

替换 local-manager 自签名证书的过程：

1. 登录到本地管理器群集中的 NSX Manager。
2. 请先收集 NSX-T 备份，然后再继续。这一步很重要！
   1. 系统>生命周期管理>备份和还原>开始备份

3. 检查证书和到期日期。
   1. 单击 系统>设置>证书

无论群集内有多少个 NSX Manager，每个 Local Manager 群集都有一个证书。

1. 登录到本地管理器群集 1 上的任何 NSX Manager。
2. 生成新的 CSR。
   1. 单击System>SettingsCertificatesCSRsGenerate>>>CSR

2. 输入 通用名称 local-manager。
3. 输入 名称 LocalManager。
4. 其余部分是用户业务和位置详细信息（可以从即将过期的旧证书复制。）
5. 单击 Save。

3. 使用生成的 CSR 创建自签名证书。
   1. 单击 新建 CSR 复选框 >为 CSR 生成 CSR>自签名证书 。

2. 确保Service Certificate设置为 No ，然后单击 Save。
3. 返回到 “证书 ”选项卡，找到 新证书 和 复制证书 ID。

4. 替换本地管理器的主体身份证书。
   1. 用户安装 Postman 平台。
   2. 在 Authorization 选项卡中，选择 Type>Basic Auth。
   3. 输入 NSX-T Manager 登录详细信息。

4. 在“标头”选项卡中，将“application/xml”更改为“application/json”。

5. 在 “Body ”选项卡中，选择 POST API 命令。
   1. 选择“原始”，然后选择“JSON”。
   2. 在 POST 旁边的框中，输入 URL https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
   3. 在上面中，URL 是用于特定本地管理器群集中的任何 NSX Manager 的 IP。
   4. 在 正文 部分中，如屏幕截图所示，分两行输入以下内容：

{ "cert_id": "<certificate id, copied from step 3>",
"service_type": "LOCAL_MANAGER" }

6. 单击 Send ，并确保看到结果 200 OK。

5. 在每个本地管理器群集 2 和 3 上重复步骤 1 至 4。

完成这些步骤后，您已在每个本地管理器群集上创建一个新证书，并替换了每个本地管理器群集上的主体身份证书。

现在是时候从三个本地管理器群集中的每一个中删除即将过期的旧证书了。

1. 检查证书是否不再使用。
   1. 复制 证书 ID
   2. 打开 Postman
   3. 选择 GET API ，而不是 POST。
   4. 输入 URL https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id>
   5. 查找“used_by”并确认其包含空括号。

    "used_by" : [ ],
    "resource_type" : "certificate_self_signed",
    "id" : "9cd133ca-32fc-48a2-898b-7acd928512a5",
    "display_name" : "local-manager",
    "description" : "",
    "tags" : [ ],
    "_create_user" : "admin",
    "_create_time" : 1677468138846,
    "_last_modified_user" : "admin",
    "_last_modified_time" : 1677468138846,
    "_system_owned" : false,
    "_protection" : "NOT_PROTECTED",
    "_revision" : 0
  }

2. 转至 系统 >设置 >证书 ，然后选择所需的证书。

3. 单击DeleteDelete>。

4. 确认主体身份正常工作并使用新证书：
   1. 打开 Postman
   2. 选择 GET。
   3. 运行 URL https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie.
   4. 输出应类似于以下内容，“certificate_id”应显示新创建的证书 ID。

替换全局管理器证书：

要替换全局管理器证书，请遵循相同的过程，但将“LOCAL_MANAGER”更改为“GLOBAL_MANAGER”，然后从全局管理器群集执行该过程。

其他相关文章：

有关详细信息，请参阅以下相关的 Broadcom VMware 文章：

• 证书类型 
• 配置全局管理器和本地管理器
• 替换版本 3.2 上的证书  
• 替换版本 3.1 上的证书
• 创建证书签名请求文件 
• 如何续订主体身份用户使用的 NSX-t-superuser-certificate

VxRail G410, VxRail G Series Nodes, VxRail E560 VCF, VxRail E560F, VxRail E560F VCF, VxRail E560N, VxRail E560N VCF, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560, VxRail G560 VCF, VxRail G560F , VxRail G560F VCF, VxRail Gen2 Hardware, VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570 VCF, VxRail P570F, VxRail P570F VCF, VxRail P580N, VxRail P580N VCF, VXRAIL P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S570 VCF, VxRail S670, VxRail Software, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570 VCF, VxRail V570F, VxRail V570F VCF, VXRAIL V670F, VxRail VD-4000R, VxRail VD-4000W, VxRail VD-4000Z, VxRail VD-4510C, VxRail VD-4520C, VxRail VD Series Nodes ... View More View Less