Después de instalar NSX, el clúster y los nodos de NSX Manager tendrán certificados autofirmados. Reemplace los certificados autofirmados por certificados firmados por una entidad de certificación y utilice el mismo certificado firmado por una entidad de certificación con un SAN (nombre alternativo del sujeto) que coincida con todos los FQDN y las IP de todos nodos y la VIP del clúster. Solo puede ejecutar una operación de reemplazo de certificados a la vez.

Si utiliza NSX Federation, puede reemplazar los certificados de API de GM, el certificado de clúster de GM, los certificados de API de LM y los certificados de clúster de LM mediante las API siguientes.

A partir de NSX Federation 4.1, es posible reemplazar el certificado autofirmado utilizado para la comunicación GM-LM. Además, el certificado de Global Manager ahora genera el certificado de Local Manager en el momento en que se registra el Local Manager. El certificado de Local Manager ya no es un certificado predeterminado.

Al reemplazar el certificado del Global Manager o el Local Manager, el administrador del sitio los enviará a los demás sitios federados, por lo que la comunicación permanece intacta.

El conjunto de claves de cifrado TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 ahora se puede utilizar o reemplazar para la comunicación:
  • entre los nodos de NSX en el clúster.
  • en NSX Federation.
  • de NSX Manager a NSX Edge.
  • de NSX Manager al agente de NSX.
  • de la REST API de NSX Manager (externa).

También puede reemplazar los certificados de identidad principal de la plataforma creados automáticamente para el Global Manager y los dispositivos de Local Manager. Consulte Certificados para NSX y NSX Federation para obtener más información sobre los certificados autofirmados configurados automáticamente para NSX Federation.

Nota: Para Cloud Service Manager, no es posible reemplazar el certificado HTTP en un entorno de NSX.

Requisitos previos

  • Compruebe que haya un certificado disponible en NSX Manager. Tenga en cuenta que en los Global Manager en espera, la operación de importación de la interfaz de usuario está desactivada. Para obtener más información sobre el comando de REST API de importación para un Global Manager en espera, consulte Importar un certificado autofirmado o firmado por una entidad de certificación.
  • El certificado del servidor debe contener la extensión de restricciones básica basicConstraints = CA:FALSE.
  • Compruebe que el certificado sea válido realizando la siguiente llamada API:

    GET https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=validate

  • Si es necesario, tenga disponible la cadena del identificador de nodo. Para obtener ayuda sobre cómo encontrar esta información mediante la interfaz de usuario o la CLI, consulte Buscar identificadores de nodo para llamadas API de certificado.
Nota: No utilice scripts automatizados para reemplazar varios certificados al mismo tiempo. Pueden producirse errores.

Procedimiento

  1. Con privilegios de administrador, inicie sesión en NSX Manager.
  2. Seleccione Sistema > Certificados.
  3. En la columna de identificadores, seleccione el identificador del certificado que desee utilizar y cópielo de la ventana emergente.
    Asegúrese de que cuando se importó este certificado, la opción Certificado de servicio se estableció en No.

    Nota: La cadena de certificados debe estar en el orden estándar de certificate - intermediate - root.

  4. Para reemplazar el certificado de API de un nodo de Manager, utilice la siguiente llamada API. Para encontrar el identificador de nodo de Unified Appliance, consulte Buscar identificadores de nodo para llamadas API de certificado. 
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=API&node_id=<node-id>
    Por ejemplo:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=API&node_id=e61c7537-3090-4149-b2b6-19915c20504f
    Nota: Si reemplaza el certificado de CBM_MP de un nodo de Manager, una vez que se complete la operación del certificado, el servicio de administración de NSX de ese nodo se reiniciará para que pueda empezar a utilizar ese nuevo certificado. Durante este reinicio, no se podrá acceder a la interfaz de usuario ni a las API hasta que el servicio del nodo de Manager vuelva a estar en funcionamiento. Si la VIP está presente en este nodo de Manager, se moverá a otro nodo de Manager. Antes de reemplazar los certificados de CBM_MP en otros nodos de Manager, asegúrese de que el servicio de administración esté activo y en ejecución usando el comando get cluster status y comprobando el estado del clúster de miembros del grupo MANAGER.
  5. Para reemplazar el certificado de la VIP del clúster de NSX Manager, utilice la llamada API: 
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=MGMT_CLUSTER
    Por ejemplo:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/d60c6a07-6e59-4873-8edb-339bf75711?action=apply_certificate&service_type=MGMT_CLUSTER

    Asegúrese de que el valor de la huella digital se actualice para el Local Manager de cada ubicación desde el administrador de ubicaciones del Global Manager. De lo contrario, se interrumpirá la comunicación entre el GM y los LM. Las tareas como seleccionar un clúster de NSX Edge o solicitar un resumen de BGP de nivel 0 desde la interfaz de usuario del Global Manager no funcionarán si la huella digital no se actualiza. Para obtener más información sobre la API, consulte la Guía de NSX API. Este paso no es necesario si no configuró la VIP.

  6. (opcional) Para reemplazar los certificados de identidad principal de Local Manager y Global Manager para NSX Federation, utilice la siguiente llamada API. Todo el clúster de NSX Manager (Local Manager y Global Manager) requiere un único certificado de PI.
    Nota:

    No utilice este procedimiento para reemplazar un certificado de identidad principal no relacionado con NSX Federation. Para reemplazar un certificado de identidad principal, consulte Agregar una asignación de funciones o la identidad principal. 

    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=<service-type>
    Por ejemplo: 
    POST https://<local-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=LOCAL_MANAGER
    O bien 
    POST https://<global-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=GLOBAL_MANAGER
  7. Para reemplazar los certificados APH-AR, utilice la siguiente llamada API. Para encontrar el identificador de nodo de Unified Appliance, consulte Buscar identificadores de nodo para llamadas API de certificado. 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=APH&node_id=<node-id>
    Por ejemplo: 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=APH&node_id=93350f42-16b4-cb4e-99e0-fce2d17635a3
  8. A partir de NSX 4.1, para reemplazar el nodo de transporte (TN) o los certificados de host de Edge, utilice la siguiente llamada API. Debe generar la clave privada fuera de NSX Manager. Si genera la CSR en NSX Manager, no será posible recuperar la clave privada, que será necesaria en la llamada API. Si se trata de un certificado firmado por una CA, incluya toda la cadena en este orden: certificado - intermedio - root. El certificado completo debe proporcionarse en una sola línea. Reemplace también cualquier carácter de fin de línea por \n. Esto es necesario en los valores de clave privada y pem_encoded. Para reemplazar los caracteres de nueva línea por \n, puede usar este comando en sistemas basados en UNIX: awk '{gsub(/\\n/,"\n")}1' certificate.pem. 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/action/replace-host-certificate/<transport-node-id>
{
      "display_name": "cert_name",
      "pem_encoded": "---BEGIN CERTIFICATE---\n<certificate>\n---END CERTIFICATE-----\n",   
      "private_key": "---BEGIN RSA PRIVATE KEY---\n<private rsa key>\n---END RSA PRIVATE KEY---\n"
    }
    Por ejemplo: 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/aaction/replace-host-certificate/8e84d532-2cd8-46d8-90c7-04862980f69c
{
    "display_name": "cert_sample",
    "pem_encoded": "-----BEGIN CERTIFICATE-----\nMIIC1DCCAbygAwIBAgIUMd1fGNGnvYKtilon2UMBP4rqRAowDQYJKoZIhvcNAQEL\nBQAwDzENMAsGA1UEAwwETVlDQTAeFw0yMzA5MjYxODMxMzVaFw0zMzA5MjMxODMx\nMzVaMBYxFDASBgNVBAMMC2NlcnRfc2FtcGxlMIIBIjANBgkqhkiG9w0BAQEFAAOC\nAQ8AMIIBCgKCAQEAzMDsp1EGFPjus/xnHmacPJYVP0N8iQMb3W8TFFQC5jxdjNzi\ncMIb1YgpI+s3LJoyYCdZKeMcCWDwtgQXMTy9FYJCHKyt86CF0br9U9q9iC+NX93X\n+/wrWtXY89ESt0NOgj22sKI49EQT9bd0dNWupxapCb98Dyztk0cetIHa7ia1q7un\nXMZ7dofwuWUEUlT8qpyXF84N6bhWQSrXRyeQ+oZrsq3sAyfnKzbfcs0T3sztWn9M\nR7h8iPkjpJjVV5z1ghAgIDKFXG8RVU8fLgX5srtYV2Ij1II0qYwe/yGBfj7xsemB\n2lGGPotlbwUE5oPFISJvG9qLOoNKVLvBrxuNnQIDAQABoyEwHzAdBgNVHSUEFjAU\nBggrBgEFBQcDAQYIKwYBBQUHAwIwDQYJKoZIhvcNAQELBQADggEBAAqPfZWNzG/b\nBhtN2gDjr0LplfC0yi8K6Ep3exECE5UOUJvHubko4Z6eCZFT8XSrAa6eZQEVe3O3\nwFvpdedCiEpI/IaFhpRUQDubJMPao7t4Uohz3k3ONMGbIci8dVUcQRQlmxFmx3wf\n0/33fy3b1zIOXqooQF3qUlpjms/RQOdD80dSlMze8WI7yz9LZt9Zc+sr8ePRi4Xy\ntudO6EYTiWm3CC5BxDDjKpkFCACFRT4zr5HsomHsFeo4hGIHl2zN0+JoGrdrWcta\nxdl5aQYy79vIMgvz696EKUGePEpJjpyP/wlwzmIY3RvXRKThuVXvg20gi365x8+J\niKbzpCGe0P0=\n-----END CERTIFICATE-----\n-----BEGIN CERTIFICATE-----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\n9bcn\n-----END CERTIFICATE-----\n",
    "private_key": "-----BEGIN RSA PRIVATE KEY-----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\nhBQ1pzzmwGnO6AyxTxgoY5CosK2Ga1KjsWUXqay2QwIln+E+xxsm\n-----END RSA PRIVATE KEY-----\n"
}
    Utilice el identificador del nodo de transporte para node_id, no el identificador de Unified Appliance (UA). Para encontrar su identificador de nodo, consulte Buscar identificadores de nodo para llamadas API de certificado.

    Para obtener más información sobre los certificados autofirmados predeterminados configurados por el sistema o sobre los requisitos de los certificados de VMware Cloud Foundation, consulte Tipos de certificado.

  9. Para reemplazar un certificado que se origina en otras ubicaciones de la implementación de NSX federada, busque certificados con nombres que empiecen por la palabra Site, como Site certificate L=PA,ST=CA,C=US, Site certificate UID=369cd66c-..., o solo por su UUID 637a2ebf-84d1-4548-a0ba-51d9420672ff. Si esos certificados van a caducar próximamente, recuerde realizar el reemplazo en el clúster o el nodo de origen. Puede encontrar esa información en la interfaz de usuario en la columna Dónde se usa o en la API en el campo Utilizado por. Si reemplaza los certificados en cualquier Global Manager o Local Manager de origen, se sincronizarán automáticamente en la implementación federada.
  10. Para eliminar un certificado no usado que ya no necesite, puede utilizar la interfaz de usuario o la API. Si la columna Dónde se usa del panel Certificados muestra un cero, eso significa que el certificado no se está utilizando y puede eliminarlo mediante el botón Eliminar. Si Utilizado por muestra un cero en los resultados del comando de la API, significa que ese certificado no se está utilizando y puede eliminarlo mediante el comando de la API Administración del sistema > Configuración > Certificados > Eliminar certificado.