Après avoir ajouté le nouveau nœud NSX Manager au cluster et validé l'état du cluster. Vous devez ajouter un certificat SSL au nouveau nœud.
Procédure
- Dans un navigateur Web, connectez-vous au nouveau nœud NSX Manager.
https://<node_FQDN>/login.jsp?local=true
- Générez une demande de signature de certificat (CSR) pour le nouveau nœud NSX Manager.
- Cliquez sur Système > Certificats > CSR > Générer une CSR et sélectionnez Générer une CSR.
- Entrez les informations de la CSR et cliquez sur Enregistrer.
Option Description Nom commun Entrez le nom de domaine complet (FQDN) du nœud.
Par exemple, nsx-wld-3.vrack.vsphere.local.
Nom Attribuez un nom au certificat. Par exemple, nsx-wld-3.vrack.vsphere.local.
Unité d'organisation Entrez le département de votre organisation qui gère ce certificat.
Par exemple, Ingénierie VMware.
Nom de l'organisation Entrez le nom de votre organisation avec les suffixes applicables.
Par exemple, VMware.
Localité Ajoutez la ville dans laquelle est située votre organisation.
Par exemple, Palo Alto.
État Ajoutez l'état dans lequel est située votre organisation.
Par exemple, Californie.
Pays Ajoutez l'emplacement de votre organisation.
Par exemple, États-Unis.
Algorithme de message Définissez l'algorithme de chiffrement pour votre certificat.
Par exemple, RSA.Taille de clé Définissez la taille de la clé en bits de l'algorithme de chiffrement.
Par exemple, 2048.Description Entrez des détails spécifiques pour vous permettre d'identifier ce certificat à une date ultérieure. - Cliquez sur Enregistrer.
- Sélectionnez la CSR, puis cliquez sur Actions et sélectionnez Télécharger PEM CSR.
- Renommez le fichier téléchargé en <node_FQDN>.csr et chargez-le dans le répertoire racine du domaine de gestion vCenter Server.
- Connectez-vous via SSH au domaine de gestion vCenter Server en tant qu'utilisateur racine et exécutez la commande suivante :
bash shell
- Exécutez la commande suivante :
openssl x509 -req -extfile <(printf "subjectKeyIdentifier = hash nauthorityKeyIdentifier=keyid,issuer nkeyUsage = nonRepudiation, digitalSignature, keyEncipherment nextendedKeyUsage=serverAuth,clientAuth nbasicConstraints = CA:false nsubjectAltName = DNS:<node_FQDN>" ) -days 365 -in <node_FQDN>.csr -CA /var/lib/vmware/vmca/root.cer -CAkey /var/lib/vmware/vmca/privatekey.pem -CAcreateserial -out <node_FQDN>.crt -sha256
La sortie attendue doit ressembler à l'exemple suivant :Signature ok subject=/L=PA/ST=CA/C=US/OU=VMware Engineering/O=VMware/CN=nsx-wld-3.vrack.vsphere.local Getting CA Private Key
- Ajoutez la clé racine de l'autorité de certification vCenter Server au certificat.
cat /var/lib/vmware/vmca/root.cer >> <node_FQDN>.crt
- Téléchargez le fichier <node_FQDN>.crt à partir du répertoire racine vCenter Server.
- Importez <node_FQDN>.crt dans le nœud NSX Manager.
- Dans un navigateur Web, connectez-vous au nouveau nœud NSX Manager.
https://<node_FQDN>/login.jsp?local=true
- Cliquez sur Système > Certificats > CSR.
- Sélectionnez la CSR pour le nouveau nœud, cliquez sur Actions et sélectionnez Importer le certificat pour CSR.
- Recherchez et sélectionnez le fichier <node_FQDN>.crt que vous avez téléchargé à l'étape 8.
- Dans un navigateur Web, connectez-vous au nouveau nœud NSX Manager.
- Appliquez le certificat au nœud NSX Manager.
- Cliquez sur Système > Certificats > Certificats.
- Localisez et copiez l'ID du certificat pour le nouveau nœud.
- À partir d'un système disposant de la commande curl et ayant accès aux nœuds NSX Manager (par exemple, vCenter Server ou SDDC Manager), exécutez la commande suivante pour installer le certificat signé par une autorité de certification sur le nouveau nœud NSX Manager.
curl -H 'Accept: application/json' -H 'Content-Type: application/json' --insecure -u 'admin:<nsx_admin_password>' -X POST 'https://<node_FQDN>/api/v1/node/services/http?action=apply_certificate&certificate_id=<certificate_id>'
Remplacez <nsx_admin_password> par le mot de passe admin du nœud NSX Manager. Remplacez <certificate_id> par l'ID de certificat de l'étape 10b.
- Dans l'interface utilisateur de SDDC Manager, remplacez les certificats NSX Manager par des certificats signés par une autorité de certification approuvée. Reportez-vous à la section Gestion des certificats dans VMware Cloud Foundation.
Que faire ensuite
Si l'attribution du certificat échoue, en raison de l'échec de la vérification de la liste de révocation des certificats (CRL), reportez-vous à la section https://kb.vmware.com/kb/78794. Si vous désactivez la vérification CRL pour attribuer le certificat, après l'attribution du certificat, vous devez réactiver la vérification de la liste de révocation de certificats.