El certificado firmado por la entidad de certificación que importó caducó.

Problema

El certificado firmado por la entidad de certificación que importó al host del dispositivo de NSX Manager ha caducado y no puede seguir trabajando con NSX Application Platform. Debe delegar un certificado autofirmado firmado por una CA para seguir trabajando con NSX Application Platform y las funciones de NSX que aloja.

Causa

La caducidad predeterminada de un certificado firmado por una CA es de 825 días. Los certificados autofirmados del sistema se renuevan automáticamente. Si importa un certificado personalizado firmado por una CA, debe mantener el ciclo de vida de dicho certificado. Si olvida renovarlo, la conexión entre elNSX Application Platform y NSX Manager Unified Appliance se interrumpirá y no podrá seguir trabajando con NSX Application Platform y las funciones de NSX que aloja.

Solución

  1. Inicie sesión en el dispositivo de NSX Manager como usuario raíz.
  2. Delegue a un certificado autofirmado firmado por una CA usando el comando de kubectl en la línea de comandos de NSX Manager.
    system prompt> kubectl patch certificate ca-cert -n cert-manager --type='json' -p='[{"op": "replace", "path": "/spec/secretName", "value":"ca-key-pair"}]'
  3. Espere unos 30 segundos y, a continuación, exporte el certificado de salida introduciendo los comandos kubectl y cat en la línea de comandos de NSX Manager, uno a uno.
    system prompt> kubectl get secret -n nsxi-platform egress-tls-cert -o=jsonpath='{.data.tls\.crt}' | base64 -d - > tls.crt
    system prompt> kubectl get secret -n nsxi-platform egress-tls-cert -o=jsonpath='{.data.ca\.crt}' | base64 -d - > ca.crt
    system prompt> cat tls.crt ca.crt > egress.crt
  4. Importe egress.crt en la aplicación NSX Manager a través de la interfaz de usuario y obtenga el UUID del certificado.
    1. En un navegador, inicie sesión con privilegios de administrador empresarial en una instancia de NSX Manager desde https://<dirección-ip-nsx-manager>.
    2. Desplácese hasta Sistema > Certificados, haga clic en Importar y seleccione Certificado en el menú desplegable.
    3. Introduzca un nombre para el certificado.
    4. Establezca Certificado de servicio en No.
    5. En el cuadro de texto Contenido del certificado, pegue el contenido del archivo egress.crt que creó en el paso anterior.
    6. Haga clic en Guardar.
    7. En la tabla Certificados, expanda la fila del certificado recién agregado y copie el valor del identificador de certificado.
  5. De nuevo en la sesión de usuario raíz del dispositivo de NSX Manager, obtenga el UUID de cloudnative_platform_egress usando el comando curl en la línea de comandos.
    system prompt> curl -ku 'admin:Admin!23Admin' https://127.0.0.1/api/v1/trust-management/principal-identities
  6. Enlace PrincipleIdentity con el identificador de certificado importado mediante el comando curl en la línea de comandos.
    curl -ku 'admin:yourAdminPassword' https://127.0.0.1/api/v1/trust-management/principal-identities?action=update_certificate -X POST -H "Content-Type: application/json" -H "X-Allow-Overwrite: true" -d '{"principal_identity_id": "<PI-UUID>", "certificate_id": "<EGRESS-CERT-ID>"}'