Después de instalar NSX, el clúster y los nodos de NSX Manager tendrán certificados autofirmados. Reemplace los certificados autofirmados por certificados firmados por una entidad de certificación y utilice el mismo certificado firmado por una entidad de certificación con un SAN (nombre alternativo del sujeto) que coincida con todos los FQDN y las IP de todos nodos y la VIP del clúster. Solo puede ejecutar una operación de reemplazo de certificados a la vez.

Si utiliza Federación de NSX, puede reemplazar los certificados de API de GM, el certificado de clúster de GM, los certificados de API de LM y los certificados de clúster de LM mediante las API siguientes.

A partir de Federación de NSX 4.1, es posible reemplazar el certificado autofirmado utilizado para la comunicación GM-LM. Además, el certificado de Administrador global ahora genera el certificado de Administrador local en el momento en que se registra el Administrador local. El certificado de Administrador local ya no es un certificado predeterminado.

Al reemplazar el certificado del Administrador global o el Administrador local, el administrador del sitio los enviará a los demás sitios federados, por lo que la comunicación permanece intacta.

El conjunto de claves de cifrado TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 ahora se puede utilizar o reemplazar para la comunicación:
  • entre los nodos de NSX en el clúster.
  • en Federación de NSX.
  • de NSX Manager a NSX Edge.
  • de NSX Manager al agente de NSX.
  • de la REST API de NSX Manager (externa).

También puede reemplazar los certificados de identidad principal de la plataforma creados automáticamente para el Administrador global y los dispositivos de Administrador local. Consulte Certificados para NSX y Federación de NSX para obtener más información sobre los certificados autofirmados configurados automáticamente para Federación de NSX.

Requisitos previos

  • Compruebe que haya un certificado disponible en NSX Manager. Tenga en cuenta que en los Global Manager en espera, la operación de importación de la interfaz de usuario está desactivada. Para obtener más información sobre el comando de REST API de importación para un Administrador global en espera, consulte Importar un certificado autofirmado o firmado por una entidad de certificación.
  • El certificado del servidor debe contener la extensión de restricciones básica basicConstraints = CA:FALSE.
  • Compruebe que el certificado sea válido realizando la siguiente llamada API:

    GET https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=validate

  • Si es necesario, tenga disponible la cadena del identificador de nodo. Para obtener ayuda sobre cómo encontrar esta información mediante la interfaz de usuario o la CLI, consulte Buscar identificadores de nodo para llamadas API de certificado.
Nota: No utilice scripts automatizados para reemplazar varios certificados al mismo tiempo. Pueden producirse errores.

Procedimiento

  1. Con privilegios de administrador, inicie sesión en NSX Manager.
  2. Seleccione Sistema > Certificados.
  3. En la columna de identificadores, seleccione el identificador del certificado que desee utilizar y cópielo de la ventana emergente.
    Asegúrese de que cuando se importó este certificado, la opción Certificado de servicio se estableció en No.

    Nota: La cadena de certificados debe estar en el orden estándar de certificate - intermediate - root.

  4. Para reemplazar el certificado de API de un nodo de Manager, utilice la siguiente llamada API. Para encontrar el identificador de nodo de Unified Appliance, consulte Buscar identificadores de nodo para llamadas API de certificado. 
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=API&node_id=<node-id>
    Por ejemplo:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=API&node_id=e61c7537-3090-4149-b2b6-19915c20504f
    Nota: Si reemplaza el certificado de CBM_MP de un nodo de Manager, una vez que se complete la operación del certificado, el servicio de administración de NSX de ese nodo se reiniciará para que pueda empezar a utilizar ese nuevo certificado. Durante este reinicio, no se podrá acceder a la interfaz de usuario ni a las API hasta que el servicio del nodo de Manager vuelva a estar en funcionamiento. Si la VIP está presente en este nodo de Manager, se moverá a otro nodo de Manager. Antes de reemplazar los certificados de CBM_MP en otros nodos de Manager, asegúrese de que el servicio de administración esté activo y en ejecución usando el comando get cluster status y comprobando el estado del clúster de miembros del grupo MANAGER.
  5. Para reemplazar el certificado de la VIP del clúster de NSX Manager, utilice la llamada API: 
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=MGMT_CLUSTER
    Por ejemplo:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/d60c6a07-6e59-4873-8edb-339bf75711?action=apply_certificate&service_type=MGMT_CLUSTER

    Asegúrese de que el valor de la huella digital se actualice para el Administrador local de cada ubicación desde el administrador de ubicaciones del Administrador global. De lo contrario, se interrumpirá la comunicación entre el GM y los LM. Las tareas como seleccionar un clúster de NSX Edge o solicitar un resumen de BGP de nivel 0 desde la interfaz de usuario del Administrador global no funcionarán si la huella digital no se actualiza. Para obtener más información sobre la API, consulte la Guía de NSX API. Este paso no es necesario si no configuró la VIP.

  6. (opcional) Para reemplazar los certificados de identidad principal de Administrador local y Administrador global para Federación de NSX, utilice la siguiente llamada API. Todo el clúster de NSX Manager (Administrador local y Administrador global) requiere un único certificado de PI.
    Nota:

    No utilice este procedimiento para reemplazar un certificado de identidad principal no relacionado con NSX Federation. Para reemplazar un certificado de identidad principal, consulte Agregar una asignación de funciones o la identidad principal. 

    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=<service-type>
    Por ejemplo: 
    POST https://<local-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=LOCAL_MANAGER
    O bien 
    POST https://<global-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=GLOBAL_MANAGER
  7. Para reemplazar los certificados APH-AR, utilice la siguiente llamada API. Para encontrar el identificador de nodo de Unified Appliance, consulte Buscar identificadores de nodo para llamadas API de certificado. 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=APH&node_id=<node-id>
    Por ejemplo: 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=APH&node_id=93350f42-16b4-cb4e-99e0-fce2d17635a3
  8. A partir de NSX 4.1, para reemplazar el nodo de transporte (TN) o los certificados de host de Edge, utilice la siguiente llamada API. Debe generar la clave privada fuera de NSX Manager. Si genera la CSR en NSX Manager, no será posible recuperar la clave privada, que será necesaria en la llamada API. Si se trata de un certificado firmado por una CA, incluya toda la cadena en este orden: certificado - intermedio - root. El certificado completo debe proporcionarse en una sola línea. Reemplace también cualquier carácter de fin de línea por \n. Esto es necesario en los valores de clave privada y pem_encoded. Para reemplazar los caracteres de nueva línea por \n, puede usar este comando en sistemas basados en UNIX: awk '{gsub(/\\n/,"\n")}1' certificate.pem. 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/action/replace-host-certificate/<transport-node-id>
{
      "display_name": "cert_name",
      "pem_encoded": "---BEGIN CERTIFICATE---\n<certificate>\n---END CERTIFICATE-----\n",   
      "private_key": "---BEGIN RSA PRIVATE KEY---\n<private rsa key>\n---END RSA PRIVATE KEY---\n"
    }
    Por ejemplo: 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/aaction/replace-host-certificate/8e84d532-2cd8-46d8-90c7-04862980f69c
{
    "display_name": "cert_sample",
    "pem_encoded": "-----BEGIN CERTIFICATE-----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\niKbzpCGe0P0=\n-----END CERTIFICATE-----\n-----BEGIN CERTIFICATE-----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\n9bcn\n-----END CERTIFICATE-----\n",
    "private_key": "-----BEGIN RSA PRIVATE KEY-----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\nhBQ1pzzmwGnO6AyxTxgoY5CosK2Ga1KjsWUXqay2QwIln+E+xxsm\n-----END RSA PRIVATE KEY-----\n"
}
    Utilice el identificador del nodo de transporte para node_id, no el identificador de Unified Appliance (UA). Para encontrar su identificador de nodo, consulte Buscar identificadores de nodo para llamadas API de certificado.

    Para obtener más información sobre los certificados autofirmados predeterminados configurados por el sistema o sobre los requisitos de los certificados de VMware Cloud Foundation, consulte Tipos de certificado.