您可以进行 API 调用以替换管理器节点或管理器集群虚拟 IP (Virtual IP, VIP) 的某些证书。一次只能运行一个证书替换操作。

安装 NSX-T Data Center 后,管理器节点和集群具有自签名证书。建议您将自签名证书替换为 CA 签名证书,并使用一个包含 SAN(主体备用名称)列表的通用 CA 签名证书,该列表可匹配集群的所有节点和 VIP。有关系统配置的默认自签名证书的详细信息,请参见证书类型

如果您使用的是 NSX 联合,则可以使用以下 API 替换 全局管理器 节点、全局管理器 集群、本地管理器 节点和 本地管理器 集群证书。您还可以替换为 全局管理器本地管理器 设备自动创建的平台主体身份证书。有关为 NSX 联合自动配置的自签名证书的详细信息,请参见NSX 联合证书

前提条件

  • 确认在 NSX Manager 中具有一个证书。请参见导入自签名证书或 CA 签名证书
  • 服务器证书必须包含基本限制扩展 basicConstraints = cA:FALSE
  • 通过进行以下 API 调用来验证证书是否有效:
    GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>?action=validate
    注: 请勿使用自动脚本同时替换多个证书。可能会出现错误。

过程

  1. 从浏览器中,使用管理员特权登录到 NSX Manager,网址为 https://<nsx-manager-ip-address>。
  2. 选择系统 > 证书
  3. 在 ID 列中,单击要使用的证书的 ID,然后从弹出窗口中复制该证书 ID。
    确保在导入此证书时,选项 服务证书已设置为
  4. 要替换管理器节点的证书,请使用 POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=API&node_id API 调用。
    例如: POST https://172.10.221.11/api/v1/trust-management/certificates/f096cc4b-2120-4762-b25d-fbcd2439ae80?action=apply_certificate&service_type=API&node_id=2f040f42-64a4-68a8-2648-0f8266a8d2e7

    注意:证书链必须采用“证书 - 中间 - 根”这一行业标准顺序。

    有关该 API 的详细信息,请参见《NSX-T Data Center 命令行界面参考》

  5. 要替换管理器集群 VIP 的证书,请使用 POST /api/v1/cluster/api-certificate?action=set_cluster_certificate API 调用。
    例如, POST https://<nsx-mgr>/api/v1/cluster/api-certificate?action=set_cluster_certificate&certificate_id=d60c6a07-6e59-4873-8edb-339bf75711ac

    注意:证书链必须采用“证书 - 中间 - 根”这一行业标准顺序。

    有关该 API 的详细信息,请参见《NSX-T Data Center API 指南》。如果未配置 VIP,则无需执行此步骤。

  6. (可选) 要替换 NSX 联合本地管理器全局管理器主体身份证书,请使用 API 调用。整个 NSX Manager 集群(本地管理器全局管理器)需要一个 PI 证书。
    POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
    例如,对于 LM:
    POST https://<nsx-local-mgr>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
    {
        "cert_id": "c5f13ec0-8075-441e-80b5-aeb707f6b87e",
        "service_type": "LOCAL_MANAGER"
    }
    对于 GM:
    POST https://<nsx-global-manager>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
    {
        "cert_id": "c6f13ec0-8075-441e-80b5-aeb707f6b87e",
        "service_type": "GLOBAL_MANAGER"
    }
  7. (可选) 如果您当前有一个部署了 NSX Manager 集群的 NSX Intelligence 设备,则必须更新 NSX Intelligence 设备上的 NSX Manager 节点 IP、证书和指纹信息。有关详细信息,请参见 VMware 知识库文章 https://kb.vmware.com/s/article/78505
  8. 要替换 APH-APR 证书,请使用 API 调用:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_appliance_proxy_certificate_for_inter_site_communication
    例如:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_appliance_proxy_certificate_for_inter_site_communication
    {
     "cert_id": "77c5dc5c-6ba5-4e74-a801-c27dc09be76b",
     "used_by_id": "4e15955d-acd1-4g49-abae-0c6ea65bf438"
    }