Puede reemplazar algunos certificados de un nodo de NSX Manager o la IP virtual (VIP) del clúster de NSX Manager mediante una llamada API. Solo puede ejecutar una operación de reemplazo de certificados a la vez.

Después de instalar NSX-T Data Center, el clúster y los nodos de NSX Manager tendrán certificados autofirmados. Se recomienda reemplazar los certificados autofirmados por un certificado firmado por una entidad de certificación y que se utilice un solo certificado firmado por una entidad de certificación común con una lista SAN que coincida con todos los nodos y la VIP del clúster. Consulte Tipos de certificado para obtener más información sobre los certificados autofirmados predeterminados configurados por el sistema.

Si utiliza NSX Federation, puede reemplazar nodos de Global Manager, el clúster de Global Manager, nodos de Local Manager y certificados de clúster de Local Manager mediante las siguientes API. También puede reemplazar los certificados de identidad principal de la plataforma creados automáticamente para el Global Manager y los dispositivos de Local Manager. Consulte Certificados para NSX Federation para obtener más información sobre los certificados autofirmados configurados automáticamente para NSX Federation.

Requisitos previos

  • Compruebe que haya un certificado disponible en NSX Manager. Consulte Importar un certificado autofirmado o firmado por una entidad de certificación.
  • El certificado del servidor debe contener la extensión de restricciones básica basicConstraints = cA:FALSE.
  • Compruebe que el certificado sea válido realizando la siguiente llamada API:
    GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>?action=validate
    Nota: No utilice scripts automatizados para reemplazar varios certificados al mismo tiempo. Pueden producirse errores.

Procedimiento

  1. En un explorador, acceda a https://<dirección-ip-de-nsx-manager> e inicie sesión en NSX Manager con privilegios de administrador.
  2. Seleccione Sistema > Certificados.
  3. En la columna de identificadores, haga clic en el identificador del certificado que desee utilizar y cópielo de la ventana emergente.
    Asegúrese de que cuando se importó este certificado, la opción Certificado de servicio se estableció en No.
  4. Para reemplazar el certificado de un nodo de NSX Manager, utilice la llamada API POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=API&node_id.
    Por ejemplo: POST https://172.10.221.11/api/v1/trust-management/certificates/f096cc4b-2120-4762-b25d-fbcd2439ae80?action=apply_certificate&service_type=API&node_id=2f040f42-64a4-68a8-2648-0f8266a8d2e7

    Nota: La cadena de certificados debe estar en el orden estándar de 'certificate - intermediate - root'.

    Para obtener más información sobre la API, consulte la Referencia la interfaz de línea de comandos de NSX-T Data Center.

  5. Para reemplazar el certificado de la VIP del clúster de NSX Manager, utilice la llamada API POST /api/v1/cluster/api-certificate?action=set_cluster_certificate.
    Por ejemplo, POST https://<nsx-mgr>/api/v1/cluster/api-certificate?action=set_cluster_certificate&certificate_id=d60c6a07-6e59-4873-8edb-339bf75711ac

    Nota: La cadena de certificados debe estar en el orden estándar de 'certificate - intermediate - root'.

    Para obtener más información sobre la API, consulte la Guía de la API de NSX-T Data Center. Este paso no es necesario si no configuró una VIP.

  6. (opcional) Para reemplazar los certificados de identidad principal de Local Manager y Global Manager para NSX Federation, utilice la llamada API. Todo el clúster de NSX Manager (Local Manager y Global Manager) requiere un único certificado de PI.
    POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
    Por ejemplo, para LM: 
    POST https://<nsx-local-mgr>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
{
    "cert_id": "c5f13ec0-8075-441e-80b5-aeb707f6b87e",
    "service_type": "LOCAL_MANAGER"
}
    Para GM: 
    POST https://<nsx-global-manager>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
{
    "cert_id": "c6f13ec0-8075-441e-80b5-aeb707f6b87e",
    "service_type": "GLOBAL_MANAGER"
}
  7. (opcional) Si actualmente tiene un dispositivo de NSX Intelligence implementado con el clúster de NSX Manager, deberá actualizar la información de la huella digital, el certificado y la IP del nodo de NSX Manager que se encuentra en el dispositivo de NSX Intelligence. Consulte el artículo https://kb.vmware.com/s/article/78505 de la base de conocimientos de VMware para obtener más información.
  8. Para reemplazar los certificados APH-APR, utilice la llamada API: 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_appliance_proxy_certificate_for_inter_site_communication
    Por ejemplo: 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_appliance_proxy_certificate_for_inter_site_communication
{
 "cert_id": "77c5dc5c-6ba5-4e74-a801-c27dc09be76b",
 "used_by_id": "4e15955d-acd1-4g49-abae-0c6ea65bf438"
}