Después de instalar NSX, el clúster y los nodos de NSX Manager tendrán certificados autofirmados. Reemplace los certificados autofirmados por un certificado firmado por una entidad de certificación y utilice el mismo certificado firmado por una entidad de certificación con una lista de SAN (nombre alternativo del sujeto) que coincida con todos los nodos y la VIP del clúster. Solo puede ejecutar una operación de reemplazo de certificados a la vez.

Si utiliza NSX Federation, puede reemplazar los certificados de API de GM, el certificado de clúster de GM, los certificados de API de LM y los certificados de clúster de LM mediante las API siguientes.

Al reemplazar el certificado de GM o LM, el administrador del sitio los enviará a los demás sitios federados, por lo que la comunicación permanece intacta.

El conjunto de claves de cifrado TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 ahora se puede utilizar o reemplazar para la comunicación:
  • entre los nodos de NSX en el clúster.
  • en NSX Federation.
  • de NSX Manager a NSX Edge.
  • de NSX Manager al agente de NSX.
  • de la REST API de NSX Manager (externa).

También puede reemplazar los certificados de identidad principal de la plataforma creados automáticamente para el Global Manager y los dispositivos de Local Manager. Consulte Certificados para NSX Federation para obtener más información sobre los certificados autofirmados configurados automáticamente para NSX Federation.

Nota: Para Cloud Service Manager, no es posible reemplazar el certificado HTTP en un entorno de NSX.

Requisitos previos

  • Compruebe que haya un certificado disponible en NSX Manager. Tenga en cuenta que en un Global Manager en espera, la operación de importación de la interfaz de usuario está desactivada. Para obtener más información sobre el comando de REST API de importación para un Global Manager en espera, consulte Importar un certificado autofirmado o firmado por una entidad de certificación.
  • El certificado del servidor debe contener la extensión de restricciones básica basicConstraints = cA:FALSE.
  • Compruebe que el certificado sea válido realizando la siguiente llamada API:

    GET https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=validate

    Nota: No utilice scripts automatizados para reemplazar varios certificados al mismo tiempo. Pueden producirse errores.

Procedimiento

  1. Con privilegios de administrador, inicie sesión en NSX Manager.
  2. Seleccione Sistema > Certificados.
  3. En la columna de identificadores, seleccione el identificador del certificado que desee utilizar y cópielo de la ventana emergente.
    Asegúrese de que cuando se importó este certificado, la opción Certificado de servicio se estableció en No.

    Nota: La cadena de certificados debe estar en el orden estándar de 'certificate - intermediate - root'.

  4. Para reemplazar el certificado de un nodo de NSX Manager, utilice la llamada API: 
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=API&node_id=<node-id>
    Por ejemplo:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=API&node_id=e61c7537-3090-4149-b2b6-19915c20504f

    Para obtener más información sobre la API, consulte la Guía de NSX API.

  5. Para reemplazar el certificado de la VIP del clúster de NSX Manager, utilice la llamada API: 
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=MGMT_CLUSTER
    Por ejemplo:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/d60c6a07-6e59-4873-8edb-339bf75711?action=apply_certificate&service_type=MGMT_CLUSTER

    Nota: La cadena de certificados debe estar en el orden estándar de certificate - intermediate - root.

    Para obtener más información sobre la API, consulte la Guía de NSX API. Este paso no es necesario si no configuró una VIP.

  6. (opcional) Para reemplazar los certificados de identidad principal de Local Manager y Global Manager para NSX Federation, utilice la siguiente llamada API. Todo el clúster de NSX Manager (Local Manager y Global Manager) requiere un único certificado de PI.
    Nota: No utilice este procedimiento para reemplazar un certificado de identidad principal no relacionado con NSX Federation. Para reemplazar un certificado de identidad principal, consulte las instrucciones especificadas en Agregar una asignación de funciones o la identidad principal. 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=<service-type>
    Por ejemplo: 
    POST https://<local-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=LOCAL_MANAGER
    O bien 
    POST https://<global-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=GLOBAL_MANAGER
  7. Para reemplazar los certificados APH-APR, utilice la llamada API: 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=APH
    Por ejemplo: 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be79b?action=apply_certificate&service_type=APH