安装 NSX 后,管理器节点和集群具有自签名证书。将自签名证书替换为 CA 签名证书,并使用一个包含 SAN(主体备用名称)的通用 CA 签名证书,可匹配集群的所有节点和 VIP。一次只能运行一个证书替换操作。

如果使用的是 NSX 联合,可使用以下 API 替换 GM API 证书、GM 集群证书、LM API 证书和 LM 集群证书。

替换 GM 或 LM 证书时,站点管理器会将这些证书发送到所有其他联合站点,因此通信保持不变。

现在,可以使用或替换密码套件 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 以在以下两者之间进行通信:
  • 集群中的 NSX 节点。
  • NSX 联合 中。
  • NSX ManagerNSX Edge
  • NSX ManagerNSX 代理。
  • NSX Manager REST API 通信(外部)。

您还可以替换为 全局管理器本地管理器 设备自动创建的平台主体身份证书。有关为 NSX 联合自动配置的自签名证书的详细信息,请参见NSX 联合证书

注: 对于 Cloud Service Manager,无法替换 NSX 环境中的 HTTP 证书。

前提条件

  • 确认在 NSX Manager 中具有一个证书。请注意,在备用全局管理器上,将停用 UI 导入操作。有关备用全局管理器的导入 REST API 命令的详细信息,请参阅导入自签名证书或 CA 签名证书
  • 服务器证书必须包含基本限制扩展 basicConstraints = cA:FALSE
  • 通过进行以下 API 调用来验证证书是否有效:

    GET https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=validate

    注: 请勿使用自动脚本同时替换多个证书。可能会出现错误。

过程

  1. 使用 admin 特权登录到 NSX Manager
  2. 选择系统 > 证书
  3. 在 ID 列中,选择要使用的证书的 ID,然后从弹出窗口中复制该证书 ID。
    确保在导入此证书时,选项 服务证书已设置为

    注意:证书链必须采用“证书 - 中间 - 根”这一行业标准顺序。

  4. 要替换管理器节点的证书,请使用 API 调用: 
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=API&node_id=<node-id>
    例如:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=API&node_id=e61c7537-3090-4149-b2b6-19915c20504f

    有关该 API 的详细信息,请参见NSX API 指南

  5. 要替换管理器集群 VIP 的证书,请使用 API 调用: 
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=MGMT_CLUSTER
    例如:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/d60c6a07-6e59-4873-8edb-339bf75711?action=apply_certificate&service_type=MGMT_CLUSTER

    注意:证书链必须采用“证书 - 中间 - 根”这一行业标准顺序。

    有关该 API 的详细信息,请参见NSX API 指南。如果未配置 VIP,则无需执行此步骤。

  6. (可选) 要替换 NSX 联合本地管理器全局管理器主体身份证书,请使用以下 API 调用。整个 NSX Manager 集群(本地管理器全局管理器)需要一个 PI 证书。
    注: 请勿使用此过程替换过期的证书。要替换过期的证书,请参阅 添加角色分配或主体身份以了解相关说明。如果在将证书导入备用全局管理器时遇到问题,请参阅 导入自签名证书或 CA 签名证书以了解 REST API 命令。 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=<service-type>
    例如: 
    POST https://<local-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=LOCAL_MANAGER
    POST https://<global-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=GLOBAL_MANAGER
  7. 要替换 APH-APR 证书,请使用 API 调用: 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=APH
    例如: 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be79b?action=apply_certificate&service_type=APH