您可以进行 API 调用以替换管理器节点或管理器集群虚拟 IP (Virtual IP, VIP) 的证书。

安装 NSX-T Data Center 后,管理器节点和集群具有自签名证书。建议您将自签名证书替换为 CA 签名证书,并使用一个包含 SAN(主体备用名称)列表的通用 CA 签名证书,该列表可匹配集群的所有节点和 VIP。有关系统配置的默认自签名证书的详细信息,请参见证书类型

如果使用联合,您可以使用以下 API 替换全局管理器节点证书、全局管理器集群证书、本地管理器节点证书和本地管理器集群证书。您还可以替换为全局管理器设备和本地管理器设备自动创建的平台主体身份证书。有关为联合自动配置的自签名证书的详细信息,请参见联合的证书

前提条件

  • 确认在 NSX Manager 中具有一个证书。请参见导入自签名证书或 CA 签名证书
  • 服务器证书必须包含基本限制扩展 basicConstraints = cA:FALSE
  • 通过进行以下 API 调用来验证证书是否有效:

    GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>?action=validate

过程

  1. 从浏览器中,使用管理员特权登录到 NSX Manager,网址为 https://<nsx-manager-ip-address>。
  2. 选择系统 > 证书
  3. 在 ID 列中,单击要使用的证书的 ID,然后从弹出窗口中复制该证书 ID。
    确保在导入此证书时,选项 服务证书已设置为
  4. 要替换管理器节点的证书,请使用 POST /api/v1/node/services/http?action=apply_certificate API 调用。例如,
    POST https://<nsx-mgr>/api/v1/node/services/http?action=apply_certificate&certificate_id=e61c7537-3090-4149-b2b6-19915c20504f

    注意:证书链必须采用“证书 - 中间 - 根”这一行业标准顺序。

    有关 API 的详细信息,请参见《NSX-T Data Center API 参考》

  5. 要替换管理器集群 VIP 的证书,请使用 POST /api/v1/cluster/api-certificate?action=set_cluster_certificate API 调用。例如,
    POST https://<nsx-mgr>/api/v1/cluster/api-certificate?action=set_cluster_certificate&certificate_id=d60c6a07-6e59-4873-8edb-339bf75711ac

    注意:证书链必须采用“证书 - 中间 - 根”这一行业标准顺序。

    有关 API 的详细信息,请参见《NSX-T Data Center API 参考》。如果未配置 VIP,则无需执行此步骤。

  6. (可选) 要替换联合的主体身份证书,请使用 API 调用:POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation。例如:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation 
    { "cert_id": "<id>", 
    "service_type": "LOCAL_MANAGER" }
  7. (可选) 如果您当前有一个部署了 NSX Manager 集群的 NSX Intelligence 设备,则必须更新 NSX Intelligence 设备上的 NSX Manager 节点 IP、证书和指纹信息。有关详细信息,请参见 VMware 知识库文章 https://kb.vmware.com/s/article/78505