Zertifikate ersetzen

Sie können Zertifikate für einen Manager-Knoten oder die virtuelle IP-Adresse (VIP) des Manager-Clusters durch einen API-Aufruf ersetzen.

Nach der Installation von NSX-T Data Center verfügen die Manager-Knoten und der Cluster über selbstsignierte Zertifikate. Es wird empfohlen, die selbstsignierten Zertifikate durch ein von einer Zertifizierungsstelle signiertes Zertifikat zu ersetzen und ein einzelnes gängiges, von einer Zertifizierungsstelle signiertes Zertifikat mit einer SAN(Subject Alternative Names)-Liste zu verwenden, die mit allen Knoten und VIP für den Cluster übereinstimmt. Weitere Informationen zu den vom System konfigurierten standardmäßigen selbstsignierten Zertifikaten finden Sie unter Zertifikatstypen.

Wenn Sie einen Verbund verwenden, können Sie die globalen Manager-Knoten, den globalen Manager-Cluster, die lokalen Manager-Knoten und die lokalen Manager-Clusterzertifikate mit den folgenden APIs ersetzen. Sie können auch die für den globalen Manager und die lokalen Manager-Appliances automatisch erstellten Zertifikate der Plattformprinzipalidentität ersetzen. Einzelheiten zu selbstsignierten Zertifikaten, die automatisch für einen Verbund konfiguriert werden, finden Sie unter Zertifikate für NSX-Verbund.

Voraussetzungen

Stellen Sie sicher, dass ein Zertifikat in NSX Manager verfügbar ist. Siehe Importieren eines selbstsignierten oder von einer Zertifizierungsstelle signierten Zertifikats.
Das Serverzertifikat muss die Basic Constraints-Erweiterung basicConstraints = cA:FALSE enthalten.
Stellen Sie sicher, dass das Zertifikat gültig ist, indem Sie den folgenden-API-Aufruf ausführen:
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>?action=validate

Prozedur

Melden Sie sich in Ihrem Browser mit Administratorrechten bei einem NSX Manager unter https://<nsx-manager-ip-address> an.
Wählen Sie System > Zertifikate aus.
Klicken Sie in der Spalte „ID“ auf die ID des gewünschten Zertifikats und kopieren Sie die Zertifikat-ID aus dem Popup-Fenster.
Stellen Sie sicher, dass beim Importieren dieses Zertifikats die Option Dienstzertifikat auf Nein festgelegt wurde.
Um das Zertifikat eines Manager-Knotens zu ersetzen, verwenden Sie den POST /api/v1/node/services/http?action=apply_certificate-API-Aufruf. Beispiel:
POST https://<nsx-mgr>/api/v1/node/services/http?action=apply_certificate&certificate_id=e61c7537-3090-4149-b2b6-19915c20504f
Hinweis: die Zertifikatskette muss in der laut Branchenstandard typischen Reihenfolge 'certificate - intermediate - root' vorliegen.

Weitere Informationen zur API finden Sie in der Referenz zur NSX-T Data Center-API.
Um das Zertifikat der Manager-Cluster-VIP zu ersetzen, verwenden Sie den POST /api/v1/cluster/api-certificate?action=set_cluster_certificate-API-Aufruf. Beispiel:
POST https://<nsx-mgr>/api/v1/cluster/api-certificate?action=set_cluster_certificate&certificate_id=d60c6a07-6e59-4873-8edb-339bf75711ac
Hinweis: die Zertifikatskette muss in der laut Branchenstandard typischen Reihenfolge 'certificate - intermediate - root' vorliegen.

Weitere Informationen zur API finden Sie in der Referenz zur NSX-T Data Center-API. Dieser Schritt ist nicht erforderlich, wenn Sie keine VIP konfiguriert haben.
(Optional) Verwenden Sie folgenden API-Aufruf, um die Prinzipalidentitätszertifikate für den Verbund zu ersetzen: POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation. Beispiel:
```
POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation 
{ "cert_id": "<id>", 
"service_type": "LOCAL_MANAGER" }
```
(Optional) Wenn momentan eine NSX Intelligence-Appliance mit Ihrem NSX Manager-Cluster bereitgestellt ist, müssen Sie die IP-Adresse des NSX Manager-Knotens, das Zertifikat und die Fingerabdruckinformationen aktualisieren, die sich auf der NSX Intelligence-Appliance befinden. Weitere Informationen dazu finden Sie im VMware-Knowledgebase-Artikel https://kb.vmware.com/s/article/78505.