Nach der Installation von NSX-T Data Center verfügen die Manager-Knoten und der Cluster über selbstsignierte Zertifikate. Ersetzen Sie die selbstsignierten Zertifikate durch von einer Zertifizierungsstelle signierte Zertifikate. Verwenden Sie ein einzelnes gängiges, von einer Zertifizierungsstelle signiertes Zertifikat mit einem SAN (Subject Alternative Name), die mit allen Knoten und der VIP für den Cluster übereinstimmt. Sie können jeweils nur einen Zertifikatsersetzungsvorgang ausführen.

Wenn Sie NSX-Verbund verwenden, können Sie die GM-API-Zertifikate, das GM-Clusterzertifikat, die LM-API-Zertifikate und die LM-Clusterzertifikate mithilfe der folgenden APIs ersetzen.

Wenn Sie das GM- oder LM-Zertifikat ersetzen, sendet der Site-Manager diese an alle anderen Verbund-Sites, sodass die Kommunikation intakt bleibt.

Die Verschlüsselungs-Suite TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 kann jetzt für die Kommunikation zwischen folgenden Funktionen verwendet oder ersetzt werden:
  • zwischen NSX-T Data Center-Knoten im Cluster.
  • innerhalb der NSX-Verbund.
  • von NSX Manager an NSX Edge.
  • von NSX Manager an einen NSX-T Data Center-Agent.
  • zwischen der NSX Manager-REST API-Kommunikation (extern).

Sie können auch die für die Globaler Manager-Appliance und die Lokaler Manager-Appliances automatisch erstellten Zertifikate der Plattformprinzipalidentität ersetzen. Einzelheiten zu selbstsignierten Zertifikaten, die automatisch für NSX-Verbund konfiguriert werden, finden Sie unter Zertifikate für NSX-Verbund.

Hinweis: Für Cloud Service Manager ist es nicht möglich, das HTTP-Zertifikat in einer NSX-T Data Center-Umgebung zu ersetzen.

Voraussetzungen

  • Stellen Sie sicher, dass ein Zertifikat in NSX Manager verfügbar ist. Beachten Sie, dass auf einem Globaler Manager im Standby der Importvorgang auf der Benutzeroberfläche deaktiviert ist. Weitere Details zum REST API-Befehl zum Importieren für einen Globaler Manager im Standby finden Sie unter Importieren eines selbstsignierten oder von einer Zertifizierungsstelle signierten Zertifikats.
  • Das Serverzertifikat muss die Basic Constraints-Erweiterung basicConstraints = cA:FALSE enthalten.
  • Stellen Sie sicher, dass das Zertifikat gültig ist, indem Sie den folgenden-API-Aufruf ausführen:

    GET https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=validate

    Hinweis: Verwenden Sie keine automatisierten Skripts, um mehrere Zertifikate gleichzeitig zu ersetzen. Es können Fehler auftreten.

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Wählen Sie System > Zertifikate aus.
  3. Wählen Sie in der Spalte "ID" die ID des zu verwendenden Zertifikats aus und kopieren Sie die Zertifikat-ID aus dem Popup-Fenster.
    Stellen Sie sicher, dass beim Importieren dieses Zertifikats die Option Dienstzertifikat auf Nein festgelegt wurde.

    Hinweis: die Zertifikatskette muss in der laut Branchenstandard typischen Reihenfolge 'certificate - intermediate - root' vorliegen.

  4. Verwenden Sie den folgenden API-Aufruf, um das Zertifikat eines Manager-Knotens zu ersetzen: 
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=API&node_id=<node-id>
    Beispiel:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=API&node_id=e61c7537-3090-4149-b2b6-19915c20504f

    Informationen zur API finden Sie im Handbuch für die NSX-T Data Center-API.

  5. Um das Zertifikat der Manager-Cluster-VIP zu ersetzen, verwenden Sie den API-Aufruf: 
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=MGMT_CLUSTER
    Beispiel:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/d60c6a07-6e59-4873-8edb-339bf75711?action=apply_certificate&service_type=MGMT_CLUSTER

    Hinweis: Die Zertifikatskette muss in der laut Branchenstandard typischen Reihenfolge 'certificate - intermediate - root' vorliegen.

    Informationen zur API finden Sie im Handbuch für die NSX-T Data Center-API. Dieser Schritt ist nicht erforderlich, wenn Sie keine VIP konfiguriert haben.

  6. (Optional) Um die Zertifikate für Lokaler Manager und die Globaler Manager-Prinzipalidentität für NSX-Verbund zu ersetzen, verwenden Sie den folgenden API-Aufruf. Für den gesamten NSX Manager-Cluster (Lokaler Manager und Globaler Manager) ist ein einzelnes PI-Zertifikat erforderlich.
    Hinweis: Verwenden Sie dieses Verfahren nicht zum Erstellen eines Prinzipalidentitätszertifikats ohne Bezug zum NSX-Verbund. Anweisungen zum Ersetzen eines abgelaufenen Prinzipalidentitätszertifikats finden Sie unter Hinzufügen einer Rollenzuweisung oder Prinzipalidentität. 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=<service-type>
    Beispiel: 
    POST https://<local-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=LOCAL_MANAGER
    Oder 
    POST https://<global-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=GLOBAL_MANAGER
  7. Verwenden Sie folgenden API-Aufruf, um APH-APR-Zertifikate zu ersetzen: 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=APH
    Beispiel: 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be79b?action=apply_certificate&service_type=APH