Nach der Installation von NSX verfügen die Manager-Knoten und der Cluster über selbstsignierte Zertifikate. Ersetzen Sie die selbstsignierten Zertifikate durch von einer Zertifizierungsstelle signierte Zertifikate. Verwenden Sie ein einzelnes gängiges, von einer Zertifizierungsstelle signiertes Zertifikat mit einem SAN (Subject Alternative Name), die mit den FQDNs und IPs aller Knoten und der VIP für den Cluster übereinstimmt. Sie können jeweils nur einen Zertifikatsersetzungsvorgang ausführen.

Wenn Sie NSX-Verbund verwenden, können Sie die GM-API-Zertifikate, das GM-Clusterzertifikat, die LM-API-Zertifikate und die LM-Clusterzertifikate mithilfe der folgenden APIs ersetzen.

Ab NSX-Verbund 4.1 können Sie das für die GM-LM-Kommunikation verwendete selbstsignierte Zertifikat ersetzen. Darüber hinaus generiert das Globaler Manager-Zertifikat jetzt das Lokaler Manager-Zertifikat zum Zeitpunkt der Registrierung des Lokaler Manager. Das Lokaler Manager-Zertifikat ist kein Standardzertifikat mehr.

Wenn Sie das Zertifikat des Globaler Manager oder Lokaler Manager ersetzen, sendet der Site-Manager diese an alle anderen Verbund-Sites, sodass die Kommunikation intakt bleibt.

Die Verschlüsselungs-Suite TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 kann jetzt für die Kommunikation zwischen folgenden Funktionen verwendet oder ersetzt werden:
  • Zwischen NSX-Knoten im Cluster.
  • innerhalb der NSX-Verbund.
  • von NSX Manager an NSX Edge.
  • von NSX Manager an einen NSX-Agent.
  • zwischen der NSX Manager-REST API-Kommunikation (extern).

Sie können auch die für die Globaler Manager-Appliance und die Lokaler Manager-Appliances automatisch erstellten Zertifikate der Plattformprinzipalidentität ersetzen. Einzelheiten zu selbstsignierten Zertifikaten, die automatisch für NSX-Verbund konfiguriert werden, finden Sie unter Zertifikate für NSX und NSX-Verbund.

Hinweis: Für Cloud Service Manager ist es nicht möglich, das HTTP-Zertifikat in einer NSX-Umgebung zu ersetzen.

Voraussetzungen

  • Stellen Sie sicher, dass ein Zertifikat in NSX Manager verfügbar ist. Beachten Sie, dass auf einem globalen Manager im Standby der Importvorgang auf der Benutzeroberfläche deaktiviert ist. Weitere Details zum REST API-Befehl zum Importieren für einen Globaler Manager im Standby finden Sie unter Importieren eines selbstsignierten oder von einer Zertifizierungsstelle signierten Zertifikats.
  • Das Serverzertifikat muss die Basic Constraints-Erweiterung basicConstraints = CA:FALSE enthalten.
  • Stellen Sie sicher, dass das Zertifikat gültig ist, indem Sie den folgenden-API-Aufruf ausführen:

    GET https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=validate

  • Halten Sie für den Bedarfsfall Ihre Knoten-ID-Zeichenfolge bereit. Hilfe beim Auffinden dieser Informationen mithilfe der Benutzeroberfläche oder der CLI finden Sie unter Suchen von Knoten-IDs für Zertifikat-API-Aufrufe.
Hinweis: Verwenden Sie keine automatisierten Skripts, um mehrere Zertifikate gleichzeitig zu ersetzen. Es können Fehler auftreten.

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Wählen Sie System > Zertifikate aus.
  3. Wählen Sie in der Spalte "ID" die ID des zu verwendenden Zertifikats aus und kopieren Sie die Zertifikat-ID aus dem Popup-Fenster.
    Stellen Sie sicher, dass beim Importieren dieses Zertifikats die Option Dienstzertifikat auf Nein festgelegt wurde.

    Hinweis: Die Zertifikatskette muss in der laut Branchenstandard typischen Reihenfolge 'certificate - intermediate - root' vorliegen.

  4. Verwenden Sie den folgenden API-Aufruf, um das API-Zertifikat eines Manager-Knotens zu ersetzen. Informationen zum Auffinden ihrer Unified Appliance-Knoten-ID finden Sie unter Suchen von Knoten-IDs für Zertifikat-API-Aufrufe.
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=API&node_id=<node-id>
    Beispiel:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=API&node_id=e61c7537-3090-4149-b2b6-19915c20504f
    Hinweis: Wenn Sie das CBM_MP-Zertifikat eines Manager-Knotens ersetzen, wird der NSX-Verwaltungsdienst auf diesem Knoten nach Abschluss des Zertifikatvorgangs neu gestartet, damit das neue Zertifikat verwendet werden kann. Während dieses Neustarts kann auf die Benutzeroberfläche und die APIs nicht zugegriffen werden, bis der Manager-Knotendienst wieder verfügbar ist und ausgeführt wird. Wenn die VIP auf diesem Manager-Knoten vorhanden ist, wird sie auf einen anderen Manager-Knoten verschoben. Bevor Sie die CBM_MP Zertifikate auf anderen Manager-Knoten ersetzen, stellen Sie sicher, dass der Verwaltungsdienst betriebsbereit ist, indem Sie den Vorgang get cluster status durchführen und den Clusterstatus der MANAGER-Gruppenmitglieder überprüfen.
  5. Um das Zertifikat der Manager-Cluster-VIP zu ersetzen, verwenden Sie den API-Aufruf:
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=MGMT_CLUSTER
    Beispiel:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/d60c6a07-6e59-4873-8edb-339bf75711?action=apply_certificate&service_type=MGMT_CLUSTER

    Stellen Sie sicher, dass der Fingerabdruckwert für den Lokaler Manager jedes Standorts aus dem Standort-Manager des Globaler Manager aktualisiert wird. Andernfalls wird die Kommunikation zwischen GM und LMs unterbrochen. Aufgaben wie das Auswählen eines NSX Edge-Clusters oder das Anfordern einer Tier-0-BGP-Übersicht über die Globaler Manager-Benutzeroberfläche funktionieren nicht, wenn der Fingerabdruck nicht aktualisiert wird. Informationen zur API finden Sie im Handbuch zu NSX-API. Dieser Schritt ist nicht erforderlich, wenn Sie die VIP nicht konfigurieren.

  6. (Optional) Um die Zertifikate für Lokaler Manager und die Globaler Manager-Prinzipalidentität für NSX-Verbund zu ersetzen, verwenden Sie den folgenden API-Aufruf. Für den gesamten NSX Manager-Cluster (Lokaler Manager und Globaler Manager) ist ein einzelnes PI-Zertifikat erforderlich.
    Hinweis:

    Verwenden Sie dieses Verfahren nicht zum Erstellen eines Prinzipalidentitätszertifikats ohne Bezug zu einem NSX-Verbund. Anweisungen zum Ersetzen eines Prinzipalidentitätszertifikats finden Sie unter „Hinzufügen einer Rollenzuweisung oder Prinzipalidentität“.

    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=<service-type>
    Beispiel:
    POST https://<local-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=LOCAL_MANAGER
    Oder
    POST https://<global-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=GLOBAL_MANAGER
  7. Verwenden Sie zum Ersetzen von APH-AR-Zertifikaten den folgenden API-Aufruf. Informationen zum Auffinden ihrer Unified Appliance-Knoten-ID finden Sie unter Suchen von Knoten-IDs für Zertifikat-API-Aufrufe.
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=APH&node_id=<node-id>
    Beispiel:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=APH&node_id=93350f42-16b4-cb4e-99e0-fce2d17635a3
  8. Ab NSX 4.1 können Sie die Transportknoten (TN)- oder Edge-Host-Zertifikate mit folgendem API-Aufruf ersetzen. Sie müssen den privaten Schlüssel außerhalb von NSX Manager generieren. Wenn Sie die CSR im NSX Manager generieren, ist es nicht möglich, den privaten Schlüssel abzurufen, der im API-Aufruf erforderlich ist. Wenn es sich um ein von einer Zertifizierungsstelle signiertes Zertifikat handelt, muss die gesamte Kette in dieser Reihenfolge enthalten sein: Zertifikat – Zwischenzertifikat – Stamm. Das gesamte Zertifikat muss in einer einzigen Zeile bereitgestellt werden. Ersetzen Sie auch ein beliebiges Zeilenende durch „\n“. Dies ist für die Werte der Werte „pem_encoded“ und „private key“ erforderlich. Um Neuzeilenzeichen durch „\n“ zu ersetzen, können Sie diesen Befehl auf UNIX-basierten Systemen verwenden: awk '{gsub(/\\n/,"\n")}1' certificate.pem.
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/action/replace-host-certificate/<transport-node-id>
    {
          "display_name": "cert_name",
          "pem_encoded": "---BEGIN CERTIFICATE---\n<certificate>\n---END CERTIFICATE-----\n",   
          "private_key": "---BEGIN RSA PRIVATE KEY---\n<private rsa key>\n---END RSA PRIVATE KEY---\n"
        }
    Beispiel:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/aaction/replace-host-certificate/8e84d532-2cd8-46d8-90c7-04862980f69c
    {
        "display_name": "cert_sample",
        "pem_encoded": "-----BEGIN CERTIFICATE-----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\niKbzpCGe0P0=\n-----END CERTIFICATE-----\n-----BEGIN CERTIFICATE-----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\n9bcn\n-----END CERTIFICATE-----\n",
        "private_key": "-----BEGIN RSA PRIVATE KEY-----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\nhBQ1pzzmwGnO6AyxTxgoY5CosK2Ga1KjsWUXqay2QwIln+E+xxsm\n-----END RSA PRIVATE KEY-----\n"
    }
    Verwenden Sie die ID des Transportknotens für die node_id – nicht die ID der Unified Appliance (UA). Informationen zum Auffinden Ihrer Knoten-ID finden Sie unter Suchen von Knoten-IDs für Zertifikat-API-Aufrufe.

    Weitere Informationen zu den vom System konfigurierten standardmäßigen selbstsignierten Zertifikaten oder zu Anforderungen für VMware Cloud Foundation-Zertifikate finden Sie unter Zertifikatstypen.

  9. Um ein Zertifikat zu ersetzen, das von anderen Speicherorten in Ihrer NSX-Verbundbereitstellung stammt, suchen Sie nach Zertifikaten, deren Namen mit dem Wort "Site" beginnen, z. B. Site-Zertifikat L=PA,ST=CA,C=US, Site-Zertifikat UID=369cd66c-... oder nur mit ihrer UUID 637a2ebf-84d1-4548-a0ba-51d9420672ff. Wenn diese Zertifikate ablaufen, denken Sie daran, die Ersetzung auf dem ursprünglichen Knoten oder Cluster durchzuführen. Sie finden diese Informationen auf der Benutzeroberfläche in der Spalte Wo genutzt oder in der API im Feld Verwendet von. Wenn Sie die Zertifikate auf einem ursprünglichen Globaler Manager oder Lokaler Manager ersetzen, werden sie vom System automatisch in der gesamten Verbundbereitstellung synchronisiert.
  10. Um ein nicht verwendetes Zertifikat zu entfernen, das nicht mehr benötigt wird, können Sie die Benutzeroberfläche oder API verwenden. Wenn die Daten im Bereich "Zertifikate" in der Spalte "Wo genutzt" eine Null widerspiegeln, bedeutet dies, dass das Zertifikat nicht verwendet wird und Sie können es über die Schaltfläche Löschen entfernen. Wenn die Daten unter den Details für Verwendet von Ihrer API-Befehlsausgabe eine Null widerspiegeln, bedeutet dies, dass das Zertifikat nicht verwendet wird und dass Sie es unter API-Systemverwaltung > Einstellungen > Zertifikate > Befehl "Zertifikat löschen" entfernen können.