Nach der Installation von NSX verfügen die Manager-Knoten und der Cluster über selbstsignierte Zertifikate. Sie können optional die API- und selbstsignierten MGMT_CLUSTER-Zertifikate (auch bekannt als VIP) durch von einer Zertifizierungsstelle signierte Zertifikate mit einem SAN (Subject Alternative Name) ersetzen, der mit den FQDNs und IPs aller Knoten und der VIP für den Cluster übereinstimmt. Sie können jeweils nur einen Zertifikatsersetzungsvorgang ausführen.
Wenn Sie NSX-Verbund verwenden, können Sie die GM-API-Zertifikate, das GM MGMT_CLUSTER-Zertifikat (auch bekannt als VIP), die LM-API-Zertifikate und die LM MGMT_CLUSTER-Zertifikate (auch bekannt als VIP) mithilfe der folgenden APIs ersetzen.
Ab NSX-Verbund 4.1 können Sie ein für die GM-LM-Kommunikation verwendetes selbstsigniertes Zertifikat ersetzen.
Wenn Sie das GLOBAL_MANAGER- oder LOCAL_MANAGER-Zertifikat ersetzen, sendet der Site-Manager diese an alle anderen Verbund-Sites, sodass die Kommunikation intakt bleibt.
- NSX Knoten innerhalb eines Clusters.
- Innerhalb der NSX-Verbund.
- von NSX Manager an NSX Edge.
- von NSX Manager an einen NSX-Agent.
- NSX Manager-REST API-Kommunikation (extern).
Sie können auch die GLOBAL_MANAGER und LOCAL_MANAGER Zertifikate ersetzen. Einzelheiten zu selbstsignierten Zertifikaten, die automatisch für NSX-Verbund konfiguriert werden, finden Sie unter Zertifikate für NSX und NSX-Verbund.
Ab NSX 4.2 nutzen der API-Dienst auf jedem Manager und jeder VIP dasselbe Zertifikat. Sie können das gemeinsam genutzte Zertifikat auch massenweise ersetzen, indem Sie die folgende „Batch-Replace“-API ausführen.POST https://{{ip}}/api/v1/trust-management/certificates/action/batch-replace { "certificate_replacements": [ { "old_certificate_id": "fe3d2623-df43-4757-8018-b1d8223a1475" "new_certificate_id": "66370296-cacf-45a7-9912-6e2718df87bb" } ] }
Optional können Sie auch jeden API-Dienst und den VIP-Dienst durch ihre eigenen eindeutigen Zertifikate ersetzen, indem Sie die im folgenden Verfahren erwähnte API „Zertifikat anwenden“ ausführen.
Das Ersetzen und Anwenden von Zertifikats-APIs per Batch sollte nach der Bildung des Manager-Clusters durchgeführt werden, da ab NSX 4.2 die API-Zertifikate des beitretenden Managers durch die MGMT_CLUSTER-Zertifikate des Clusters (auch bekannt als VIP) ersetzt werden, dem beigetreten wird.
Voraussetzungen
- Stellen Sie sicher, dass ein Zertifikat in NSX Manager verfügbar ist. Beachten Sie, dass auf einem globalen Manager im Standby der Importvorgang auf der Benutzeroberfläche deaktiviert ist. Weitere Details zum REST API-Befehl zum Importieren für einen Globaler Manager im Standby finden Sie unter Importieren eines selbstsignierten oder von einer Zertifizierungsstelle signierten Zertifikats.
- Das Serverzertifikat muss die Basic Constraints-Erweiterung
basicConstraints = CA:FALSE
enthalten. - Stellen Sie sicher, dass das Zertifikat gültig ist, indem Sie den folgenden-API-Aufruf ausführen:
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=validate
- Halten Sie für den Bedarfsfall Ihre Knoten-ID-Zeichenfolge bereit. Hilfe beim Auffinden dieser Informationen mithilfe der Benutzeroberfläche oder der CLI finden Sie unter Suchen von Knoten-IDs für Zertifikat-API-Aufrufe.