Puede reemplazar los certificados de un nodo de NSX Manager o la IP virtual (VIP) del clúster de NSX Manager mediante una llamada API.

Después de instalar NSX-T Data Center, el clúster y los nodos de NSX Manager tendrán certificados autofirmados. Se recomienda reemplazar los certificados autofirmados por un certificado firmado por una entidad de certificación y que se utilice un solo certificado firmado por una entidad de certificación común con una lista SAN que coincida con todos los nodos y la VIP del clúster. Consulte Tipos de certificado para obtener más información sobre los certificados autofirmados predeterminados configurados por el sistema.

Si utiliza NSX Federation, puede reemplazar los nodos de Global Manager, el clúster de Global Manager, los nodos de Local Manager y los certificados de clúster de Local Manager mediante las siguientes API. También puede reemplazar los certificados de identidad principal de la plataforma creados automáticamente para Global Manager y los dispositivos del Local Manager. Consulte Certificados para NSX Federation para obtener más información sobre los certificados autofirmados configurados automáticamente para NSX Federation.

Requisitos previos

  • Compruebe que haya un certificado disponible en NSX Manager. Consulte Importar un certificado autofirmado o firmado por una entidad de certificación.
  • El certificado del servidor debe contener la extensión de restricciones básica basicConstraints = cA:FALSE.
  • Compruebe que el certificado sea válido realizando la siguiente llamada API:

    GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>?action=validate

Procedimiento

  1. En un explorador, acceda a https://<dirección-ip-de-nsx-manager> e inicie sesión en NSX Manager con privilegios de administrador.
  2. Seleccione Sistema > Certificados.
  3. En la columna de identificadores, haga clic en el identificador del certificado que desee utilizar y cópielo de la ventana emergente.
    Asegúrese de que cuando se importó este certificado, la opción Certificado de servicio se estableció en No.
  4. Para reemplazar el certificado de un nodo de NSX Manager, utilice la llamada API POST /api/v1/node/services/http?action=apply_certificate. Por ejemplo,
    POST https://<nsx-mgr>/api/v1/node/services/http?action=apply_certificate&certificate_id=e61c7537-3090-4149-b2b6-19915c20504f

    Nota: La cadena de certificados debe estar en el orden estándar de 'certificate - intermediate - root'.

    Para obtener más información acerca de la API, consulte la Referencia de API de NSX-T Data Center.

  5. Para reemplazar el certificado de la VIP del clúster de NSX Manager, utilice la llamada API POST /api/v1/cluster/api-certificate?action=set_cluster_certificate. Por ejemplo,
    POST https://<nsx-mgr>/api/v1/cluster/api-certificate?action=set_cluster_certificate&certificate_id=d60c6a07-6e59-4873-8edb-339bf75711ac

    Nota: La cadena de certificados debe estar en el orden estándar de 'certificate - intermediate - root'.

    Para obtener más información acerca de la API, consulte la Referencia de API de NSX-T Data Center. Este paso no es necesario si no configuró una VIP.

  6. (opcional) Para reemplazar los certificados de identidad principal para NSX Federation, utilice la llamada API: POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation. Por ejemplo:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation 
    { "cert_id": "<id>", 
    "service_type": "LOCAL_MANAGER" }
  7. (opcional) Si actualmente tiene un dispositivo de NSX Intelligence implementado con el clúster de NSX Manager, deberá actualizar la información de la huella digital, el certificado y la IP del nodo de NSX Manager que se encuentra en el dispositivo de NSX Intelligence. Consulte el artículo https://kb.vmware.com/s/article/78505 de la base de conocimientos de VMware para obtener más información.