Remplacer des certificats

Vous pouvez remplacer certains certificats d'un nœud de gestionnaire ou l'adresse IP virtuelle (VIP) d'un cluster de gestionnaires en effectuant un appel d'API. Vous ne pouvez exécuter qu'une seule opération de remplacement de certificat à la fois.

Après l'installation de NSX-T Data Center, les nœuds de gestionnaire et le cluster ont des certificats auto-signés. Il est recommandé de remplacer les certificats auto-signés par un certificat signé par une autorité de certification et d'utiliser un seul certificat signé par une autorité de certification commune avec une liste SAN (Subject Alternative Names) qui correspond à tous les nœuds et VIP du cluster. Pour plus d'informations sur les certificats auto-signés par défaut configurés par le système, reportez-vous à la section Types de certificats.

Si vous utilisez NSX Federation, vous pouvez remplacer les nœuds Gestionnaire global, clusters Gestionnaire global, nœuds Gestionnaire local et certificats de cluster Gestionnaire local à l'aide des API suivantes. Vous pouvez également remplacer les certificats d'identité de principal de plate-forme créés automatiquement pour le Gestionnaire global et les dispositifs Gestionnaire local. Reportez-vous à Certificats pour NSX Federation pour plus d'informations sur les certificats auto-signés configurés automatiquement pour NSX Federation.

Conditions préalables

Vérifiez qu'un certificat est disponible dans le dispositif NSX Manager. Reportez-vous à la section Importer un certificat auto-signé ou signé par une autorité de certification.
Le certificat de serveur doit contenir l'extension des contraintes de base basicConstraints = cA:FALSE.
Vérifiez que le certificat est valide en effectuant l'appel d'API suivant :
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>?action=validate
Note : N'utilisez pas de scripts automatisés pour remplacer plusieurs certificats en même temps. Des erreurs peuvent se produire.

Procédure

Dans le navigateur, connectez-vous avec des privilèges d'administrateur à un dispositif NSX Manager sur https://<nsx-manager-ip-address>.
Sélectionnez Système > Certificats.
Dans la colonne ID, cliquez sur l'ID du certificat que vous voulez utiliser et copiez l'ID de certificat dans la fenêtre contextuelle.
Assurez-vous que lorsque ce certificat a été importé, l'option Certificat de service a été définie sur Non.
Pour remplacer le certificat d'un nœud de gestionnaire, utilisez l'appel d'API POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=API&node_id.
Par exemple : POST https://172.10.221.11/api/v1/trust-management/certificates/f096cc4b-2120-4762-b25d-fbcd2439ae80?action=apply_certificate&service_type=API&node_id=2f040f42-64a4-68a8-2648-0f8266a8d2e7
Remarque : la chaîne de certificats doit être dans l'ordre standard suivant : « certificat–intermédiaire–racine ».

Pour plus d'informations sur l'API, reportez-vous au Référence de NSX-T Data Center Command-Line Interface.
Pour remplacer le certificat de la VIP d'un cluster de gestionnaires, utilisez l'appel d'API POST /api/v1/cluster/api-certificate?action=set_cluster_certificate.
Par exemple, POST https://<nsx-mgr>/api/v1/cluster/api-certificate?action=set_cluster_certificate&certificate_id=d60c6a07-6e59-4873-8edb-339bf75711ac
Remarque : la chaîne de certificats doit être dans l'ordre standard suivant : « certificat–intermédiaire–racine ».

Pour plus d'informations sur l'API, reportez-vous au Guide de l'API de NSX-T Data Center. Cette étape n'est pas nécessaire si vous n'avez pas configuré de VIP.

(Facultatif) Pour remplacer les certificats d'identité de principal de Gestionnaire local et Gestionnaire global pour NSX Federation, utilisez l'appel d'API. L'intégralité du cluster NSX Manager (Gestionnaire local et Gestionnaire global) nécessite un certificat PI unique.

POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation

Par exemple, pour LM :

POST https://<nsx-local-mgr>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
{
    "cert_id": "c5f13ec0-8075-441e-80b5-aeb707f6b87e",
    "service_type": "LOCAL_MANAGER"
}

Pour GM :

POST https://<nsx-global-manager>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
{
    "cert_id": "c6f13ec0-8075-441e-80b5-aeb707f6b87e",
    "service_type": "GLOBAL_MANAGER"
}

(Facultatif) Si vous disposez actuellement d'un dispositif NSX Intelligence déployé avec votre cluster NSX Manager, vous devez mettre à jour les informations d'adresse IP, de certificat et d'empreinte du nœud NSX Manager qui se trouvent sur le dispositif NSX Intelligence. Pour plus d'informations, consultez l'article https://kb.vmware.com/s/article/78505 de la base de connaissances VMware.

Pour remplacer les certificats APH-APR, utilisez l'appel d'API :

POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_appliance_proxy_certificate_for_inter_site_communication

Par exemple :

POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_appliance_proxy_certificate_for_inter_site_communication
{
 "cert_id": "77c5dc5c-6ba5-4e74-a801-c27dc09be76b",
 "used_by_id": "4e15955d-acd1-4g49-abae-0c6ea65bf438"
}