Après avoir ajouté le nouveau nœud NSX Manager au cluster et validé l'état du cluster. Vous devez ajouter un certificat SSL au nouveau nœud.

Dans les étapes suivantes, remplacez <node_FQDN> par le nom de domaine complet du nouveau nœud NSX Manager.

Procédure

  1. Dans un navigateur Web, connectez-vous au nouveau nœud NSX Manager. 
    https://<node_FQDN>/login.jsp?local=true
  2. Générez une demande de signature de certificat (CSR) pour le nouveau nœud NSX Manager.
    1. Cliquez sur Système > Certificats > CSR > Générer une CSR et sélectionnez Générer une CSR.
    2. Entrez les informations de la CSR et cliquez sur Enregistrer.
      Option Description
      Nom commun

      Entrez le nom de domaine complet (FQDN) du nœud.

      Par exemple, nsx-wld-3.vrack.vsphere.local.
      Nom Attribuez un nom au certificat.

      Par exemple, nsx-wld-3.vrack.vsphere.local.
      Unité d'organisation

      Entrez le département de votre organisation qui gère ce certificat.

      Par exemple, Ingénierie VMware.
      Nom de l'organisation

      Entrez le nom de votre organisation avec les suffixes applicables.

      Par exemple, VMware.
      Localité

      Ajoutez la ville dans laquelle est située votre organisation.

      Par exemple, Palo Alto.
      État

      Ajoutez l'état dans lequel est située votre organisation.

      Par exemple, Californie.
      Pays

      Ajoutez l'emplacement de votre organisation.

      Par exemple, États-Unis.
      Algorithme de message

      Définissez l'algorithme de chiffrement pour votre certificat.

      Par exemple, RSA.
      Taille de clé

      Définissez la taille de la clé en bits de l'algorithme de chiffrement.

      Par exemple, 2048.
      Description Entrez des détails spécifiques pour vous permettre d'identifier ce certificat à une date ultérieure.
    3. Cliquez sur Enregistrer.
  3. Sélectionnez la CSR, puis cliquez sur Actions et sélectionnez Télécharger PEM CSR.
  4. Renommez le fichier téléchargé en <node_FQDN>.csr et chargez-le dans le répertoire racine du domaine de gestion vCenter Server.
  5. Connectez-vous via SSH au domaine de gestion vCenter Server en tant qu'utilisateur racine et exécutez la commande suivante : 
    bash shell
  6. Exécutez la commande suivante : 
    openssl x509 -req -extfile  <(printf "subjectKeyIdentifier = hash
         nauthorityKeyIdentifier=keyid,issuer
         nkeyUsage = nonRepudiation, digitalSignature, keyEncipherment 
         nextendedKeyUsage=serverAuth,clientAuth 
         nbasicConstraints = CA:false 
         nsubjectAltName = DNS:<node_FQDN>" )  
         -days 365 -in <node_FQDN>.csr -CA /var/lib/vmware/vmca/root.cer -CAkey /var/lib/vmware/vmca/privatekey.pem 
         -CAcreateserial -out <node_FQDN>.crt -sha256
    La sortie attendue doit ressembler à l'exemple suivant : 
    Signature ok
subject=/L=PA/ST=CA/C=US/OU=VMware Engineering/O=VMware/CN=nsx-wld-3.vrack.vsphere.local
Getting CA Private Key
  7. Ajoutez la clé racine de l'autorité de certification vCenter Server au certificat. 
    cat /var/lib/vmware/vmca/root.cer >> <node_FQDN>.crt
  8. Téléchargez le fichier <node_FQDN>.crt à partir du répertoire racine vCenter Server.
  9. Importez <node_FQDN>.crt dans le nœud NSX Manager.
    1. Dans un navigateur Web, connectez-vous au nouveau nœud NSX Manager. 
      https://<node_FQDN>/login.jsp?local=true
    2. Cliquez sur Système > Certificats > CSR.
    3. Sélectionnez la CSR pour le nouveau nœud, cliquez sur Actions et sélectionnez Importer le certificat pour CSR.
    4. Recherchez et sélectionnez le fichier <node_FQDN>.crt que vous avez téléchargé à l'étape 8.
  10. Appliquez le certificat au nœud NSX Manager.
    1. Cliquez sur Système > Certificats > Certificats.
    2. Localisez et copiez l'ID du certificat pour le nouveau nœud.
    3. À partir d'un système disposant de la commande curl et ayant accès aux nœuds NSX Manager (par exemple, vCenter Server ou SDDC Manager), exécutez la commande suivante pour installer le certificat signé par une autorité de certification sur le nouveau nœud NSX Manager. 
      curl -H 'Accept: application/json' -H 'Content-Type: application/json' --insecure -u 'admin:<nsx_admin_password>' -X POST 'https://<node_FQDN>/api/v1/node/services/http?action=apply_certificate&certificate_id=<certificate_id>'
      Remplacez <nsx_admin_password> par le mot de passe admin du nœud NSX Manager. Remplacez <certificate_id> par l'ID de certificat de l'étape 10b.
  11. Dans l'interface utilisateur de SDDC Manager, remplacez les certificats NSX Manager par des certificats signés par une autorité de certification approuvée. Reportez-vous à la section Gestion des certificats dans VMware Cloud Foundation.

Que faire ensuite

Important :

Si l'attribution du certificat échoue, en raison de l'échec de la vérification de la liste de révocation des certificats (CRL), reportez-vous à la section https://kb.vmware.com/kb/78794. Si vous désactivez la vérification CRL pour attribuer le certificat, après l'attribution du certificat, vous devez réactiver la vérification de la liste de révocation de certificats.