Après l'installation de NSX, les nœuds de gestionnaire et le cluster ont des certificats auto-signés. Remplacez les certificats auto-signés par un certificat signé par une autorité de certification et utilisez un seul certificat signé par une autorité de certification commune avec un SAN (Subject Alternative Name) qui correspond à tous les nœuds et VIP du cluster. Vous ne pouvez exécuter qu'une seule opération de remplacement de certificat à la fois.

Si vous utilisez Fédération NSX, vous pouvez remplacer les certificats d'API GM, le certificat de cluster GM, les certificats d'API LM et les certificats de cluster LM à l'aide des API suivantes.

Lorsque vous remplacez le certificat gestionnaire global ou gestionnaire local, le gestionnaire de sites les envoie à tous les autres sites fédérés, afin que la communication reste intacte.

La suite de chiffrement TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 peut désormais être utilisée ou remplacée pour la communication entre les éléments suivants :
  • les nœuds NSX dans le cluster ;
  • dans la Fédération NSX ;
  • entre NSX Manager et NSX Edge ;
  • entre NSX Manager et l'agent NSX ;
  • La communication REST API NSX Manager (externe).

Vous pouvez également remplacer les certificats d'identité de principal de plate-forme créés automatiquement pour le Gestionnaire global et les dispositifs Gestionnaire local. Reportez-vous à Certificats pour Fédération NSX pour plus d'informations sur les certificats auto-signés configurés automatiquement pour Fédération NSX.

Note : Dans Cloud Service Manager, il n'est pas possible de remplacer le certificat HTTP dans un environnement NSX.

Conditions préalables

  • Vérifiez qu'un certificat est disponible dans le dispositif NSX Manager. Notez que sur un Gestionnaire global en veille, l'opération d'importation de l'interface utilisateur est désactivée. Pour plus d'informations sur la commande d'importation REST API d'un Gestionnaire global en veille, reportez-vous à Importer un certificat auto-signé ou signé par une autorité de certification.
  • Le certificat de serveur doit contenir l'extension des contraintes de base basicConstraints = cA:FALSE.
  • Vérifiez que le certificat est valide en effectuant l'appel d'API suivant :

    GET https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=validate

    Note : N'utilisez pas de scripts automatisés pour remplacer plusieurs certificats en même temps. Des erreurs peuvent se produire.

Procédure

  1. Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
  2. Sélectionnez Système > Certificats.
  3. Dans la colonne ID, sélectionnez l'ID du certificat que vous voulez utiliser et copiez l'ID de certificat dans la fenêtre contextuelle.
    Assurez-vous que lorsque ce certificat a été importé, l'option Certificat de service a été définie sur Non.

    Remarque : la chaîne de certificats doit être dans l'ordre standard suivant : « certificat–intermédiaire–racine ».

  4. Pour remplacer le certificat d'un nœud de gestionnaire, utilisez l'appel d'API : 
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=API&node_id=<node-id>
    Par exemple :
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=API&node_id=e61c7537-3090-4149-b2b6-19915c20504f

    Pour plus d'informations sur l'API, reportez-vous au Guide de NSX API.

  5. Pour remplacer le certificat de l'adresse IP virtuelle d'un cluster de gestionnaires, utilisez l'appel d'API : 
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=MGMT_CLUSTER
    Par exemple :
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/d60c6a07-6e59-4873-8edb-339bf75711?action=apply_certificate&service_type=MGMT_CLUSTER

    Remarque : la chaîne de certificats doit être dans l'ordre standard suivant : certificat–intermédiaire–racine.

    Pour plus d'informations sur l'API, reportez-vous au Guide de NSX API. Cette étape n'est pas nécessaire si vous n'avez pas configuré de VIP.

  6. (Facultatif) Pour remplacer les certificats d'identité de principal de Gestionnaire local et de Gestionnaire global pour Fédération NSX, utilisez l'appel d'API suivant. L'intégralité du cluster NSX Manager (Gestionnaire local et Gestionnaire global) nécessite un certificat PI unique.
    Note : N'utilisez pas cette procédure pour remplacer un certificat d'identité de principal non lié à Fédération NSX. Pour remplacer un certificat d'identité de principal, reportez-vous à Ajouter une attribution de rôle ou une identité de principal pour obtenir des instructions. 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=<service-type>
    Par exemple : 
    POST https://<local-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=LOCAL_MANAGER
    Ou 
    POST https://<global-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=GLOBAL_MANAGER
  7. Pour remplacer les certificats APH-APR, utilisez l'appel d'API : 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=APH
    Par exemple : 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be79b?action=apply_certificate&service_type=APH