Después de instalar NSX, el clúster y los nodos de NSX Manager tendrán certificados autofirmados. Opcionalmente, puede reemplazar los certificados autofirmados MGMT_CLUSTER (VIP) y de API por certificados firmados por una entidad de certificación común con un SAN (nombre alternativo del sujeto) que coincida con todos los FQDN y las IP de todos nodos y la VIP del clúster. Solo puede ejecutar una operación de reemplazo de certificados a la vez.

Si utiliza Federación de NSX, puede reemplazar los certificado API de GM, el certificado MGMT_CLUSTER (VIP) de GM, los certificado API de LM y los certificados MGMT_CLUSTER (VIP) de LM mediante las siguientes API.

A partir de Federación de NSX 4.1, es posible reemplazar un certificado autofirmado que se utilice para la comunicación GM-LM.

Al reemplazar el certificado GLOBAL_MANAGER o LOCAL_MANAGER, el administrador del sitio los enviará a los demás sitios federados, por lo que la comunicación permanece intacta.

El conjunto de claves de cifrado TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 ahora se puede utilizar o reemplazar para la comunicación:
  • entre nodos de NSX dentro de un clúster.
  • dentro de Federación de NSX.
  • de NSX Manager a NSX Edge.
  • de NSX Manager al agente de NSX.
  • de REST API de NSX Manager (externa).

También puede reemplazar los certificados GLOBAL_MANAGER y LOCAL_MANAGER. Consulte Certificados para NSX y Federación de NSX para obtener más información sobre los certificados autofirmados configurados automáticamente para Federación de NSX.

A partir de NSX 4.2, el servicio de API de cada Manager y VIP comparten el mismo certificado. También puede reemplazar en bloque el certificado compartido ejecutando la API 'batch replace'. 
POST https://{{ip}}/api/v1/trust-management/certificates/action/batch-replace
{
    "certificate_replacements": [
        {
         "old_certificate_id": "fe3d2623-df43-4757-8018-b1d8223a1475"
         "new_certificate_id": "66370296-cacf-45a7-9912-6e2718df87bb"
        }
    ]
}

De forma opcional, también puede reemplazar cada servicio de API y el servicio VIP por sus propios certificados únicos ejecutando la API 'apply certificate' mencionada en el siguiente procedimiento.

Las API 'batch replace' y 'apply certificate' deben ejecutarse una vez formado el clúster de Manager, ya que, a partir de NSX 4.2, los certificados de API del administrador de uniones se reemplazarán por los certificados MGMT_CLUSTER (VIP) del clúster que se va a unir.

Requisitos previos

  • Compruebe que haya un certificado disponible en NSX Manager. Tenga en cuenta que en los Global Manager en espera, la operación de importación de la interfaz de usuario está desactivada. Para obtener más información sobre el comando de REST API de importación para un Administrador global en espera, consulte Importar un certificado autofirmado o firmado por una entidad de certificación.
  • El certificado del servidor debe contener la extensión de restricciones básica basicConstraints = CA:FALSE.
  • Compruebe que el certificado sea válido realizando la siguiente llamada API:

    GET https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=validate

  • Si es necesario, tenga disponible la cadena del identificador de nodo. Para obtener ayuda sobre cómo encontrar esta información mediante la interfaz de usuario o la CLI, consulte Buscar identificadores de nodo para llamadas API de certificado.
Nota: No utilice scripts automatizados para reemplazar varios certificados al mismo tiempo. Pueden producirse errores.

Procedimiento

  1. Con privilegios de administrador, inicie sesión en NSX Manager.
  2. Seleccione Sistema > Certificados.
  3. En la columna de identificadores, seleccione el identificador del certificado que desee utilizar y cópielo de la ventana emergente.
    Asegúrese de que cuando se importó este certificado, la opción Certificado de servicio se estableció en No.

    Nota: La cadena de certificados debe estar en el orden estándar de certificate - intermediate - root.

  4. Para reemplazar el certificado de API de un nodo de Manager, utilice la siguiente llamada API. Para encontrar el identificador de nodo de Unified Appliance, consulte Buscar identificadores de nodo para llamadas API de certificado. 
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=API&node_id=<node-id>
    Por ejemplo:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=API&node_id=e61c7537-3090-4149-b2b6-19915c20504f
  5. Para reemplazar el certificado de la VIP del clúster de NSX Manager, utilice la llamada API: 
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=MGMT_CLUSTER
    Por ejemplo:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/d60c6a07-6e59-4873-8edb-339bf75711?action=apply_certificate&service_type=MGMT_CLUSTER

    Asegúrese de que el valor de la huella digital se actualice para el Administrador local de cada ubicación desde el administrador de ubicaciones del Administrador global. De lo contrario, se interrumpirá la comunicación entre el GM y los LM. Las tareas como seleccionar un clúster de NSX Edge o solicitar un resumen de BGP de nivel 0 desde la interfaz de usuario del Administrador global no funcionarán si la huella digital no se actualiza. Para obtener más información sobre la API, consulte la Guía de NSX API. Este paso no es necesario si no configuró la VIP.

  6. (opcional) Para reemplazar los certificados LOCAL_MANAGER y GLOBAL_MANAGER para Federación de NSX, utilice la siguiente llamada API. Todo el clúster de NSX Manager (Administrador local y Administrador global) requiere un certificado LOCAL_MANAGER y un certificado GLOBAL_MANAGER. 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=<service-type>
    Por ejemplo: 
    POST https://<local-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=LOCAL_MANAGER
    O bien 
    POST https://<global-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=GLOBAL_MANAGER
  7. Para reemplazar los certificados APH (APH_AR), utilice la siguiente llamada API. Para encontrar el identificador de nodo de Unified Appliance, consulte Buscar identificadores de nodo para llamadas API de certificado. 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=APH&node_id=<node-id>
    Por ejemplo: 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=APH&node_id=93350f42-16b4-cb4e-99e0-fce2d17635a3
  8. A partir de NSX 4.1, para reemplazar el nodo de transporte (TN) o los certificados de host de Edge (certificados TN), utilice la siguiente llamada API. Debe generar la clave privada fuera de NSX Manager. Si genera la CSR en NSX Manager, no será posible recuperar la clave privada, que será necesaria en la llamada API. Si se trata de un certificado firmado por una CA, incluya toda la cadena en este orden: certificado - intermedio - root. El certificado completo debe proporcionarse en una sola línea. Reemplace también cualquier carácter de fin de línea por \n. Esto es necesario en los valores de clave privada y pem_encoded. Para reemplazar los caracteres de nueva línea por \n, puede usar este comando en sistemas basados en UNIX: awk '{gsub(/\\n/,"\n")}1' certificate.pem. 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/action/replace-host-certificate/<transport-node-id>
{
      "display_name": "cert_name",
      "pem_encoded": "---BEGIN CERTIFICATE---\n<certificate>\n---END CERTIFICATE-----\n",   
      "private_key": "---BEGIN RSA PRIVATE KEY---\n<private rsa key>\n---END RSA PRIVATE KEY---\n"
    }
    Por ejemplo: 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/aaction/replace-host-certificate/8e84d532-2cd8-46d8-90c7-04862980f69c
{
    "display_name": "cert_sample",
    "pem_encoded": "-----BEGIN CERTIFICATE-----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\niKbzpCGe0P0=\n-----END CERTIFICATE-----\n-----BEGIN CERTIFICATE-----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\n9bcn\n-----END CERTIFICATE-----\n",
    "private_key": "-----BEGIN RSA PRIVATE KEY-----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\nhBQ1pzzmwGnO6AyxTxgoY5CosK2Ga1KjsWUXqay2QwIln+E+xxsm\n-----END RSA PRIVATE KEY-----\n"
}
    Utilice el identificador del nodo de transporte para node_id, no el identificador de Unified Appliance (UA). Para encontrar su identificador de nodo, consulte Buscar identificadores de nodo para llamadas API de certificado.

    Para obtener más información sobre los certificados autofirmados predeterminados configurados por el sistema o sobre los requisitos de los certificados de VMware Cloud Foundation, consulte Tipos de certificado.