Después de instalar NSX, el clúster y los nodos de NSX Manager tendrán certificados autofirmados. Reemplace los certificados autofirmados por certificados firmados por una entidad de certificación y utilice el mismo certificado firmado por una entidad de certificación con un SAN (nombre alternativo del sujeto) que coincida con todos los FQDN y las IP de todos nodos y la VIP del clúster. Solo puede ejecutar una operación de reemplazo de certificados a la vez.

Si utiliza NSX Federation, puede reemplazar los certificados de API de GM, el certificado de clúster de GM, los certificados de API de LM y los certificados de clúster de LM mediante las API siguientes.

A partir de NSX Federation 4.1, es posible reemplazar el certificado autofirmado utilizado para la comunicación GM-LM. Además, el certificado de Global Manager ahora genera el certificado de Local Manager en el momento en que se registra el Local Manager. El certificado de Local Manager ya no es un certificado predeterminado.

Al reemplazar el certificado del Global Manager o el Local Manager, el administrador del sitio los enviará a los demás sitios federados, por lo que la comunicación permanece intacta.

El conjunto de claves de cifrado TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 ahora se puede utilizar o reemplazar para la comunicación:
  • entre los nodos de NSX en el clúster.
  • en NSX Federation.
  • de NSX Manager a NSX Edge.
  • de NSX Manager al agente de NSX.
  • de la REST API de NSX Manager (externa).

También puede reemplazar los certificados de identidad principal de la plataforma creados automáticamente para el Global Manager y los dispositivos de Local Manager. Consulte Certificados para NSX y NSX Federation para obtener más información sobre los certificados autofirmados configurados automáticamente para NSX Federation.

Nota: Para Cloud Service Manager, no es posible reemplazar el certificado HTTP en un entorno de NSX.

Requisitos previos

  • Compruebe que haya un certificado disponible en NSX Manager. Tenga en cuenta que en los Global Manager en espera, la operación de importación de la interfaz de usuario está desactivada. Para obtener más información sobre el comando de REST API de importación para un Global Manager en espera, consulte Importar un certificado autofirmado o firmado por una entidad de certificación.
  • El certificado del servidor debe contener la extensión de restricciones básica basicConstraints = CA:FALSE.
  • Compruebe que el certificado sea válido realizando la siguiente llamada API:

    GET https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=validate

  • Si es necesario, tenga disponible la cadena del identificador de nodo. Para obtener ayuda sobre cómo encontrar esta información mediante la interfaz de usuario o la CLI, consulte Buscar identificadores de nodo para llamadas API de certificado.
Nota: No utilice scripts automatizados para reemplazar varios certificados al mismo tiempo. Pueden producirse errores.

Procedimiento

  1. Con privilegios de administrador, inicie sesión en NSX Manager.
  2. Seleccione Sistema > Certificados.
  3. En la columna de identificadores, seleccione el identificador del certificado que desee utilizar y cópielo de la ventana emergente.
    Asegúrese de que cuando se importó este certificado, la opción Certificado de servicio se estableció en No.

    Nota: La cadena de certificados debe estar en el orden estándar de certificate - intermediate - root.

  4. Para reemplazar el certificado de API de un nodo de Manager, utilice la siguiente llamada API. Para encontrar el identificador de nodo de Unified Appliance, consulte Buscar identificadores de nodo para llamadas API de certificado.
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=API&node_id=<node-id>
    Por ejemplo:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=API&node_id=e61c7537-3090-4149-b2b6-19915c20504f
    Nota: Si reemplaza el certificado de CBM_MP de un nodo de Manager, una vez que se complete la operación del certificado, el servicio de administración de NSX de ese nodo se reiniciará para que pueda empezar a utilizar ese nuevo certificado. Durante este reinicio, no se podrá acceder a la interfaz de usuario ni a las API hasta que el servicio del nodo de Manager vuelva a estar en funcionamiento. Si la VIP está presente en este nodo de Manager, se moverá a otro nodo de Manager. Antes de reemplazar los certificados de CBM_MP en otros nodos de Manager, asegúrese de que el servicio de administración esté activo y en ejecución usando el comando get cluster status y comprobando el estado del clúster de miembros del grupo MANAGER.
  5. Para reemplazar el certificado de la VIP del clúster de NSX Manager, utilice la llamada API:
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=MGMT_CLUSTER
    Por ejemplo:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/d60c6a07-6e59-4873-8edb-339bf75711?action=apply_certificate&service_type=MGMT_CLUSTER

    Para obtener más información sobre la API, consulte la Guía de NSX API. Este paso no es necesario si no configuró la VIP.

  6. (opcional) Para reemplazar los certificados de identidad principal de Local Manager y Global Manager para NSX Federation, utilice la siguiente llamada API. Todo el clúster de NSX Manager (Local Manager y Global Manager) requiere un único certificado de PI.
    Nota: No use este procedimiento para reemplazar un certificado caducado. Para reemplazar un certificado caducado, consulte las instrucciones especificadas en Agregar una asignación de funciones o la identidad principal. Si tiene dificultades para importar un certificado en un Global Manager en espera, consulte Importar un certificado autofirmado o firmado por una entidad de certificación para el comando de REST API.
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=<service-type>
    Por ejemplo:
    POST https://<local-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=LOCAL_MANAGER
    O bien
    POST https://<global-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=GLOBAL_MANAGER
  7. Para reemplazar los certificados APH-AR, utilice la siguiente llamada API. Para encontrar el identificador de nodo de Unified Appliance, consulte Buscar identificadores de nodo para llamadas API de certificado.
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=APH&node_id=<node-id>
    Por ejemplo:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=APH&node_id=93350f42-16b4-cb4e-99e0-fce2d17635a3
  8. A partir de NSX 4.1, para reemplazar el nodo de transporte (TN) o los certificados de host de Edge, utilice la siguiente llamada API. Debe generar la clave privada fuera de NSX Manager. Si genera la CSR en NSX Manager, no será posible recuperar la clave privada, que será necesaria en la llamada API. Si se trata de un certificado firmado por una CA, incluya toda la cadena en este orden: certificado - intermedio - root. El certificado completo debe proporcionarse en una sola línea. Reemplace también cualquier carácter de fin de línea por \n. Esto es necesario en los valores de clave privada y pem_encoded. Para reemplazar los caracteres de nueva línea por \n, puede usar este comando en sistemas basados en UNIX: awk '{gsub(/\\n/,"\n")}1' certificate.pem.
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/action/replace-host-certificate/<transport-node-id>
    {
          "display_name": "cert_name",
          "pem_encoded": "---BEGIN CERTIFICATE---\n<certificate>\n---END CERTIFICATE-----\n",   
          "private_key": "---BEGIN RSA PRIVATE KEY---\n<private rsa key>\n---END RSA PRIVATE KEY---\n"
        }
    Por ejemplo:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/aaction/replace-host-certificate/8e84d532-2cd8-46d8-90c7-04862980f69c
    {
        "display_name": "cert_sample",
        "pem_encoded": "-----BEGIN CERTIFICATE-----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\niKbzpCGe0P0=\n-----END CERTIFICATE-----\n-----BEGIN CERTIFICATE-----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\n9bcn\n-----END CERTIFICATE-----\n",
        "private_key": "-----BEGIN RSA PRIVATE KEY-----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\nhBQ1pzzmwGnO6AyxTxgoY5CosK2Ga1KjsWUXqay2QwIln+E+xxsm\n-----END RSA PRIVATE KEY-----\n"
    }
    Utilice el identificador del nodo de transporte para node_id, no el identificador de Unified Appliance (UA). Para encontrar su identificador de nodo, consulte Buscar identificadores de nodo para llamadas API de certificado.

    Para obtener más información sobre los certificados autofirmados predeterminados configurados por el sistema o sobre los requisitos de los certificados de VMware Cloud Foundation, consulte Tipos de certificado.