Sie können einige Zertifikate für einen Manager-Knoten oder die virtuelle IP-Adresse (VIP) des Manager-Clusters durch einen API-Aufruf ersetzen. Sie können jeweils nur einen Zertifikatsersetzungsvorgang ausführen.

Nach der Installation von NSX-T Data Center verfügen die Manager-Knoten und der Cluster über selbstsignierte Zertifikate. Es wird empfohlen, die selbstsignierten Zertifikate durch ein von einer Zertifizierungsstelle signiertes Zertifikat zu ersetzen und ein einzelnes gängiges, von einer Zertifizierungsstelle signiertes Zertifikat mit einer SAN(Subject Alternative Names)-Liste zu verwenden, die mit allen Knoten und VIP für den Cluster übereinstimmt. Weitere Informationen zu den vom System konfigurierten standardmäßigen selbstsignierten Zertifikaten finden Sie unter Zertifikatstypen.

Wenn Sie NSX-Verbund verwenden, können Sie Globaler Manager-Knoten, Globaler Manager-Cluster, Lokaler Manager-Knoten und Lokaler Manager-Clusterzertifikate mithilfe der folgenden APIs ersetzen. Sie können auch die für die Globaler Manager-Appliance und die Lokaler Manager-Appliances automatisch erstellten Zertifikate der Plattformprinzipalidentität ersetzen. Einzelheiten zu selbstsignierten Zertifikaten, die automatisch für NSX-Verbund konfiguriert werden, finden Sie unter Zertifikate für NSX-Verbund.

Voraussetzungen

  • Stellen Sie sicher, dass ein Zertifikat in NSX Manager verfügbar ist. Siehe Importieren eines selbstsignierten oder von einer Zertifizierungsstelle signierten Zertifikats.
  • Das Serverzertifikat muss die Basic Constraints-Erweiterung basicConstraints = cA:FALSE enthalten.
  • Stellen Sie sicher, dass das Zertifikat gültig ist, indem Sie den folgenden-API-Aufruf ausführen:
    GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>?action=validate
    Hinweis: Verwenden Sie keine automatisierten Skripts, um mehrere Zertifikate gleichzeitig zu ersetzen. Es können Fehler auftreten.

Prozedur

  1. Melden Sie sich in Ihrem Browser mit Administratorrechten bei einem NSX Manager unter https://<nsx-manager-ip-address> an.
  2. Wählen Sie System > Zertifikate aus.
  3. Klicken Sie in der Spalte „ID“ auf die ID des gewünschten Zertifikats und kopieren Sie die Zertifikat-ID aus dem Popup-Fenster.
    Stellen Sie sicher, dass beim Importieren dieses Zertifikats die Option Dienstzertifikat auf Nein festgelegt wurde.
  4. Um das Zertifikat eines Manager-Knotens zu ersetzen, verwenden Sie den POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=API&node_id-API-Aufruf.
    Beispiel: POST https://172.10.221.11/api/v1/trust-management/certificates/f096cc4b-2120-4762-b25d-fbcd2439ae80?action=apply_certificate&service_type=API&node_id=2f040f42-64a4-68a8-2648-0f8266a8d2e7

    Hinweis: die Zertifikatskette muss in der laut Branchenstandard typischen Reihenfolge 'certificate - intermediate - root' vorliegen.

    Informationen zur API finden Sie im Referenz zu NSX-T Data Center Command-Line Interface.

  5. Um das Zertifikat der Manager-Cluster-VIP zu ersetzen, verwenden Sie den POST /api/v1/cluster/api-certificate?action=set_cluster_certificate-API-Aufruf.
    Beispiel: POST https://<nsx-mgr>/api/v1/cluster/api-certificate?action=set_cluster_certificate&certificate_id=d60c6a07-6e59-4873-8edb-339bf75711ac

    Hinweis: die Zertifikatskette muss in der laut Branchenstandard typischen Reihenfolge 'certificate - intermediate - root' vorliegen.

    Informationen zur API finden Sie im Handbuch für die NSX-T Data Center-API. Dieser Schritt ist nicht erforderlich, wenn Sie keine VIP konfiguriert haben.

  6. (Optional) Um die Zertifikate für Lokaler Manager und die Globaler Manager-Prinzipalidentität für NSX-Verbund zu ersetzen, verwenden Sie den API-Aufruf. Für den gesamten NSX Manager-Cluster (Lokaler Manager und Globaler Manager) ist ein einzelnes PI-Zertifikat erforderlich.
    POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
    Beispiel für LM: 
    POST https://<nsx-local-mgr>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
{
    "cert_id": "c5f13ec0-8075-441e-80b5-aeb707f6b87e",
    "service_type": "LOCAL_MANAGER"
}
    Für GM: 
    POST https://<nsx-global-manager>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
{
    "cert_id": "c6f13ec0-8075-441e-80b5-aeb707f6b87e",
    "service_type": "GLOBAL_MANAGER"
}
  7. (Optional) Wenn momentan eine NSX Intelligence-Appliance mit Ihrem NSX Manager-Cluster bereitgestellt ist, müssen Sie die IP-Adresse des NSX Manager-Knotens, das Zertifikat und die Fingerabdruckinformationen aktualisieren, die sich auf der NSX Intelligence-Appliance befinden. Weitere Informationen dazu finden Sie im VMware-Knowledgebase-Artikel https://kb.vmware.com/s/article/78505.
  8. Verwenden Sie folgenden API-Aufruf, um APH-APR-Zertifikate zu ersetzen: 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_appliance_proxy_certificate_for_inter_site_communication
    Beispiel: 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_appliance_proxy_certificate_for_inter_site_communication
{
 "cert_id": "77c5dc5c-6ba5-4e74-a801-c27dc09be76b",
 "used_by_id": "4e15955d-acd1-4g49-abae-0c6ea65bf438"
}