Nach dem Hinzufügen des neuen NSX Manager-Knotens zum Cluster und Überprüfen des Clusterstatus müssen Sie ein SSL-Zertifikat zum neuen Knoten hinzufügen.

Ersetzen Sie <node_FQDN> in den folgenden Schritten durch den FQDN des neuen NSX Manager-Knotens.

Prozedur

  1. Melden Sie sich in einem Webbrowser beim neuen NSX Manager-Knoten an. 
    https://<node_FQDN>/login.jsp?local=true
  2. Erzeugen Sie eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) für den neuen NSX Manager-Knoten.
    1. Klicken Sie auf System > Zertifikate > CSRs > CSR erzeugen und wählen Sie CSR erzeugen aus.
    2. Geben Sie die CSR-Informationen ein und klicken Sie auf Speichern.
      Option Beschreibung
      Allgemeiner Name

      Geben Sie den vollqualifizierten Domänennamen (FQDN) des -Knotens ein.

      Beispiel: nsx-wld-3.vrack.vsphere.local.
      Name Weisen Sie dem Zertifikat einen Namen zu.

      Beispiel: nsx-wld-3.vrack.vsphere.local.
      Organisationseinheit

      Geben Sie die Abteilung innerhalb Ihrer Organisation ein, die dieses Zertifikat verwaltet.

      Beispiel: VMware Engineering.
      Organisationsname

      Geben Sie Ihren Organisationsnamen mit den erforderlichen Suffixen ein.

      Beispiel: VMware.
      Ort

      Geben Sie die Stadt ein, in der Ihre Organisation ihren Standort hat.

      Beispiel: Palo Alto.
      Bundesland

      Geben Sie das Bundesland ein, in dem Ihre Organisation ihren Standort hat.

      Beispiel: Kalifornien.
      Land

      Fügen Sie den Ort Ihrer Organisation hinzu.

      Beispiel: Vereinigte Staaten (US).
      Meldungsalgorithmus

      Legen Sie den Verschlüsselungsalgorithmus für Ihr Zertifikat fest.

      Beispiel: RSA.
      Schlüsselgröße

      Legen Sie die Schlüsselgröße des Verschlüsselungsalgorithmus in Bits fest.

      Beispiel: 2048.
      Beschreibung Geben Sie Informationen ein, mit denen sich dieses Zertifikat zu einem späteren Zeitpunkt einfach identifizieren lässt.
    3. Klicken Sie auf Speichern.
  3. Wählen Sie die CSR aus, klicken Sie auf Aktionen und wählen Sie CSR-PEM herunterladen aus.
  4. Benennen Sie die heruntergeladene Datei in <node_FQDN>.csr um und laden Sie sie in das Stammverzeichnis auf dem vCenter Server der Verwaltungsdomäne hoch.
  5. Melden Sie sich per SSH beim vCenter Server der Verwaltungsdomäne als root-Benutzer an und führen Sie folgenden Befehl aus: 
    bash shell
  6. Führen Sie den folgenden Befehl aus: 
    openssl x509 -req -extfile  <(printf "subjectKeyIdentifier = hash
         nauthorityKeyIdentifier=keyid,issuer
         nkeyUsage = nonRepudiation, digitalSignature, keyEncipherment 
         nextendedKeyUsage=serverAuth,clientAuth 
         nbasicConstraints = CA:false 
         nsubjectAltName = DNS:<node_FQDN>" )  
         -days 365 -in <node_FQDN>.csr -CA /var/lib/vmware/vmca/root.cer -CAkey /var/lib/vmware/vmca/privatekey.pem 
         -CAcreateserial -out <node_FQDN>.crt -sha256
    Die erwartete Ausgabe sollte derjenigen im folgenden Beispiel ähneln: 
    Signature ok
subject=/L=PA/ST=CA/C=US/OU=VMware Engineering/O=VMware/CN=nsx-wld-3.vrack.vsphere.local
Getting CA Private Key
  7. Fügen Sie dem Zertifikat den CA-Root-Schlüssel von vCenter Server hinzu. 
    cat /var/lib/vmware/vmca/root.cer >> <node_FQDN>.crt
  8. Laden Sie die Datei <node_FQDN>.crt aus dem vCenter Server-Verzeichnis Root herunter.
  9. Importieren Sie <node_FQDN>.crt in den NSX Manager-Knoten.
    1. Melden Sie sich in einem Webbrowser beim neuen NSX Manager-Knoten an. 
      https://<node_FQDN>/login.jsp?local=true
    2. Klicken Sie auf System > Zertifikate > CSRs.
    3. Wählen Sie die CSR für den neuen Knoten aus, klicken Sie auf Aktionen und wählen Sie Zertifikat für CSR importieren aus.
    4. Navigieren Sie zu der in Schritt 8 heruntergeladenen Datei <node_FQDN>.crt und wählen Sie sie aus.
  10. Wenden Sie das Zertifikat auf den NSX Manager-Knoten an.
    1. Klicken Sie auf System > Zertifikate > Zertifikate.
    2. Suchen Sie nach der ID des Zertifikats für den neuen Knoten und kopieren Sie es.
    3. Führen Sie in einem System mit dem curl-Befehl und Zugriff auf die NSX Manager-Knoten (z. B. vCenter Server oder SDDC Manager) den folgenden Befehl aus, um das von der Zertifizierungsstelle signierte Zertifikat auf dem neuen NSX Manager-Knoten zu installieren. 
      curl -H 'Accept: application/json' -H 'Content-Type: application/json' --insecure -u 'admin:<nsx_admin_password>' -X POST 'https://<node_FQDN>/api/v1/node/services/http?action=apply_certificate&certificate_id=<certificate_id>'
      Ersetzen Sie <nsx_admin_password> durch das Administratorkennwort für den NSX Manager-Knoten. Ersetzen Sie <certificate_id> durch die Zertifikat-ID aus Schritt 10b.
  11. Ersetzen Sie die NSX Manager-Zertifikate auf der SDDC Manager-Benutzeroberfläche durch vertrauenswürdige Zertifikate einer Zertifizierungsstelle (CA). Weitere Informationen finden Sie unter Verwalten von Zertifikaten in VMware Cloud Foundation.

Nächste Maßnahme

Wichtig:

Tritt beim Zuweisen des Zertifikats ein Fehler auf, weil die Überprüfung der Zertifikatswiderrufsliste (Certificate Revocation List, CRL) fehlschlägt, finden Sie weitere Informationen unter https://kb.vmware.com/kb/78794. Wenn Sie die CRL-Überprüfung deaktivieren, um das Zertifikat zuzuweisen, müssen Sie die CRL-Überprüfung nach der Zuweisung des Zertifikats erneut aktivieren.