Nach der Installation von NSX verfügen die Manager-Knoten und der Cluster über selbstsignierte Zertifikate. Ersetzen Sie die selbstsignierten Zertifikate durch von einer Zertifizierungsstelle signierte Zertifikate. Verwenden Sie ein einzelnes gängiges, von einer Zertifizierungsstelle signiertes Zertifikat mit einem SAN (Subject Alternative Name), die mit den FQDNs und IPs aller Knoten und der VIP für den Cluster übereinstimmt. Sie können jeweils nur einen Zertifikatsersetzungsvorgang ausführen.
Wenn Sie NSX-Verbund verwenden, können Sie die GM-API-Zertifikate, das GM-Clusterzertifikat, die LM-API-Zertifikate und die LM-Clusterzertifikate mithilfe der folgenden APIs ersetzen.
Ab NSX-Verbund 4.1 können Sie das für die GM-LM-Kommunikation verwendete selbstsignierte Zertifikat ersetzen. Darüber hinaus generiert das Globaler Manager-Zertifikat jetzt das Lokaler Manager-Zertifikat zum Zeitpunkt der Registrierung des Lokaler Manager. Das Lokaler Manager-Zertifikat ist kein Standardzertifikat mehr.
Wenn Sie das Zertifikat des Globaler Manager oder Lokaler Manager ersetzen, sendet der Site-Manager diese an alle anderen Verbund-Sites, sodass die Kommunikation intakt bleibt.
- Zwischen NSX-Knoten im Cluster.
- innerhalb der NSX-Verbund.
- von NSX Manager an NSX Edge.
- von NSX Manager an einen NSX-Agent.
- zwischen der NSX Manager-REST API-Kommunikation (extern).
Sie können auch die für die Globaler Manager-Appliance und die Lokaler Manager-Appliances automatisch erstellten Zertifikate der Plattformprinzipalidentität ersetzen. Einzelheiten zu selbstsignierten Zertifikaten, die automatisch für NSX-Verbund konfiguriert werden, finden Sie unter Zertifikate für NSX und NSX-Verbund.
Voraussetzungen
- Stellen Sie sicher, dass ein Zertifikat in NSX Manager verfügbar ist. Beachten Sie, dass auf einem globalen Manager im Standby der Importvorgang auf der Benutzeroberfläche deaktiviert ist. Weitere Details zum REST API-Befehl zum Importieren für einen Globaler Manager im Standby finden Sie unter Importieren eines selbstsignierten oder von einer Zertifizierungsstelle signierten Zertifikats.
- Das Serverzertifikat muss die Basic Constraints-Erweiterung
basicConstraints = CA:FALSE
enthalten. - Stellen Sie sicher, dass das Zertifikat gültig ist, indem Sie den folgenden-API-Aufruf ausführen:
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=validate
- Halten Sie für den Bedarfsfall Ihre Knoten-ID-Zeichenfolge bereit. Hilfe beim Auffinden dieser Informationen mithilfe der Benutzeroberfläche oder der CLI finden Sie unter Suchen von Knoten-IDs für Zertifikat-API-Aufrufe.