Sie können ein Zertifikat mit einem privaten Schlüssel importieren, um das selbstsignierte Standardzertifikat nach der Aktivierung zu ersetzen.
- Eine im NSX Manager generierte CSR, die selbstsigniert ist, kann nicht als Dienstzertifikat verwendet werden, wie z. B. der Load Balancer-Dienst. Wenn Sie stattdessen ein CA-Zertifikat importieren möchten, z. B. für den Load Balancer-Dienst, finden Sie weitere Informationen unter Importieren eines CA-Zertifikats.
- Auf einem Globaler Manager im Standby ist der Importvorgang auf der Benutzeroberfläche deaktiviert. Verwenden Sie den folgenden REST API-Befehl, um den Import eines Plattformzertifikats auf dem GM im Standby abzuschließen. Der Anzeigename ist optional. Stellen Sie jedoch sicher, dass das letzte Attribut kein nachfolgendes Komma enthält, wenn sie ihn nicht verwenden. Achten Sie darauf, jedes Zeilenende durch „\n“ zu ersetzen. Das gesamte Zertifikat sollte in einer einzigen Zeile bereitgestellt werden. Um Zeilenendemarken durch \n zu ersetzen, können Sie diesen Befehl auf UNIX-basierten Systemen verwenden, um jede .pem-Datei (Zertifikat und Schlüssel) in einen Wert zu konvertieren, der in einer JSON-Zeichenfolge an die NSX-T Data Center-API übergeben werden kann:
awk 'NF {sub(/\r/, ""); printf "%s\\n",$0;}' certificate-name.pem
. Das neue Format platziert alle Zertifikatinformationen in einzelne Zeilen mit eingebetteten Zeilenendemarken.Beispiel:
POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=import { "display_name": "cert_sample", "pem_encoded": "-----BEGIN CERTIFICATE-----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\niKbzpCGe0P0=\n-----END CERTIFICATE-----\n-----BEGIN CERTIFICATE-----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\n9bcn\n-----END CERTIFICATE-----\n", "private_key": "-----BEGIN RSA PRIVATE KEY-----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\nhBQ1pzzmwGnO6AyxTxgoY5CosK2Ga1KjsWUXqay2QwIln+E+xxsm\n-----END RSA PRIVATE KEY-----\n" }
Hinweis: In einigen Fällen wurden Probleme mit Zertifikaten gemeldet, die \r\n im PEM-Format enthalten. Gemäß dem X509-Zertifikatstandard ist dies akzeptabel und NSX Manager lässt die Verwendung dieser Zertifikate zu, und in vielen Fällen tritt kein Fehler auf.
Voraussetzungen
- Stellen Sie sicher, dass ein Zertifikat verfügbar ist.
- Das Serverzertifikat muss die Basic Constraints-Erweiterung
basicConstraints = cA:FALSE
enthalten.
Prozedur
- Melden Sie sich in Ihrem Browser mit Administratorrechten bei einem NSX Manager unter https://<nsx-manager-ip-address> an.
- Melden Sie sich mit Administratorrechten bei NSX Manager an.
- Wählen Sie aus.
- Wählen Sie
aus, und geben Sie die Zertifikatdetails ein.
Option Beschreibung Name Weisen Sie dem Zertifikat einen Namen zu. Dienstzertifikat Wählen Sie Ja, um dieses Zertifikat für Dienste (z. B. den Load Balancer) und VPN zu verwenden. Legen Sie Nein fest, wenn dieses Zertifikat für die NSX Manager-Knoten gilt. Zertifikatsinhalte Wechseln Sie in das Verzeichnis der Zertifikatdatei auf Ihrem Computer und fügen Sie die Datei hinzu. Das Zertifikat darf nicht verschlüsselt sein. Wenn es sich um ein von einer Zertifizierungsstelle signiertes Zertifikat handelt, stellen Sie sicher, dass die gesamte Kette in dieser Reihenfolge enthalten ist: Zertifikat – Zwischenzertifikat – Stamm. Alles muss in einer einzigen Zeile bereitgestellt werden. Privater Schlüssel Wechseln Sie in das Verzeichnis der Datei für den privaten Schlüssel auf Ihrem Computer und fügen Sie die Datei hinzu. „Privater Schlüssel“ ist ein optionales Feld, wenn das importierte Zertifikat auf einer von NSX Manager generierten CSR basiert, da auf der NSX Manager-Appliance ein privater Schlüssel existiert. Passphrase In dieser Version wird dieses Feld nicht verwendet. Beschreibung Geben Sie eine Beschreibung des Inhalts dieses Zertifikats ein. - Klicken Sie auf Import.