Remplacer des certificats

Vous pouvez remplacer des certificats d'un nœud de gestionnaire ou l'adresse IP virtuelle (VIP) d'un cluster de gestionnaires en effectuant un appel d'API.

Après l'installation de NSX-T Data Center, les nœuds de gestionnaire et le cluster ont des certificats auto-signés. Il est recommandé de remplacer les certificats auto-signés par un certificat signé par une autorité de certification et d'utiliser un seul certificat signé par une autorité de certification commune avec une liste SAN (Subject Alternative Names) qui correspond à tous les nœuds et VIP du cluster. Pour plus d'informations sur les certificats auto-signés par défaut configurés par le système, reportez-vous à la section Types de certificats.

Si vous utilisez la fédération, vous pouvez remplacer les nœuds de gestionnaire global, le cluster de gestionnaire global, les nœuds de gestionnaire local et les certificats de cluster de gestionnaire local à l'aide des API suivantes. Vous pouvez également remplacer les certificats d'identité de principal de plate-forme créés automatiquement pour le gestionnaire global et les dispositifs de gestionnaire local. Reportez-vous à Certificats pour NSX Federation pour plus d'informations sur les certificats auto-signés configurés automatiquement pour la fédération.

Conditions préalables

Vérifiez qu'un certificat est disponible dans le dispositif NSX Manager. Reportez-vous à la section Importer un certificat auto-signé ou signé par une autorité de certification.
Le certificat de serveur doit contenir l'extension des contraintes de base basicConstraints = cA:FALSE.
Vérifiez que le certificat est valide en effectuant l'appel d'API suivant :
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>?action=validate

Procédure

Dans le navigateur, connectez-vous avec des privilèges d'administrateur à un dispositif NSX Manager sur https://<nsx-manager-ip-address>.
Sélectionnez Système > Certificats.
Dans la colonne ID, cliquez sur l'ID du certificat que vous voulez utiliser et copiez l'ID de certificat dans la fenêtre contextuelle.
Assurez-vous que lorsque ce certificat a été importé, l'option Certificat de service a été définie sur Non.
Pour remplacer le certificat d'un nœud de gestionnaire, utilisez l'appel d'API POST /api/v1/node/services/http?action=apply_certificate. Par exemple,
POST https://<nsx-mgr>/api/v1/node/services/http?action=apply_certificate&certificate_id=e61c7537-3090-4149-b2b6-19915c20504f
Remarque : la chaîne de certificats doit être dans l'ordre standard suivant : « certificat–intermédiaire–racine ».

Pour plus d'informations sur l'API, reportez-vous à la Référence de l'API de NSX-T Data Center.
Pour remplacer le certificat de la VIP d'un cluster de gestionnaires, utilisez l'appel d'API POST /api/v1/cluster/api-certificate?action=set_cluster_certificate. Par exemple,
POST https://<nsx-mgr>/api/v1/cluster/api-certificate?action=set_cluster_certificate&certificate_id=d60c6a07-6e59-4873-8edb-339bf75711ac
Remarque : la chaîne de certificats doit être dans l'ordre standard suivant : « certificat–intermédiaire–racine ».

Pour plus d'informations sur l'API, reportez-vous à la Référence de l'API de NSX-T Data Center. Cette étape n'est pas nécessaire si vous n'avez pas configuré de VIP.
(Facultatif) Pour remplacer les certificats d'identité de principal pour la fédération, utilisez l'appel d'API : POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation. Par exemple :
```
POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation 
{ "cert_id": "<id>", 
"service_type": "LOCAL_MANAGER" }
```
(Facultatif) Si vous disposez actuellement d'un dispositif NSX Intelligence déployé avec votre cluster NSX Manager, vous devez mettre à jour les informations d'adresse IP, de certificat et d'empreinte du nœud NSX Manager qui se trouvent sur le dispositif NSX Intelligence. Pour plus d'informations, consultez l'article https://kb.vmware.com/s/article/78505 de la base de connaissances VMware.