Après l'installation de NSX, les nœuds de gestionnaire et le cluster ont des certificats auto-signés. Vous pouvez remplacer les certificats auto-signés d'API et MGMT_CLUSTER (alias VIP) par un certificat signé par une autorité de certification commune avec un autre nom du sujet (SAN, Subject Alternative Name) qui correspond aux noms de domaine complets et aux adresses IP de tous les nœuds et VIP du cluster. Vous ne pouvez exécuter qu'une seule opération de remplacement de certificat à la fois.
Si vous utilisez NSX Federation, vous pouvez remplacer les certificats d'API du gestionnaire global (GM), le certificat MGMT_CLUSTER (alias VIP), les certificats d'API du gestionnaire local (LM) et les certificats MGMT_CLUSTER (alias VIP) du LM à l'aide des API suivantes.
À partir de NSX Federation 4.1, vous pouvez remplacer un certificat auto-signé utilisé pour la communication entre le gestionnaire global et le gestionnaire local.
Lorsque vous remplacez le certificat GLOBAL_MANAGER ou LOCAL_MANAGER, le gestionnaire de sites les envoie à tous les autres sites fédérés, afin que la communication reste intacte.
- Nœuds NSX dans un cluster.
- Dans NSX Federation.
- entre NSX Manager et NSX Edge ;
- entre NSX Manager et l'agent NSX ;
- Communication (externe) de la REST API de NSX Manager.
Vous pouvez également remplacer les certificats GLOBAL_MANAGER et LOCAL_MANAGER. Reportez-vous à Certificats pour NSX et NSX Federation pour plus d'informations sur les certificats auto-signés configurés automatiquement pour NSX Federation.
À partir de NSX 4.2, le service API sur chaque gestionnaire et VIP partagent le même certificat. Vous pouvez également remplacer en bloc le certificat partagé en exécutant l'API « batch replace » suivante.POST https://{{ip}}/api/v1/trust-management/certificates/action/batch-replace { "certificate_replacements": [ { "old_certificate_id": "fe3d2623-df43-4757-8018-b1d8223a1475" "new_certificate_id": "66370296-cacf-45a7-9912-6e2718df87bb" } ] }
Vous pouvez également remplacer chaque service d'API et le service VIP par leurs propres certificats uniques en exécutant l'API « apply certificate » mentionnée dans la procédure suivante.
Les API « batch replace « et « apply certificate » doivent être effectuées après la formation du cluster de gestionnaires, car à partir de NSX 4.2, les certificats d'API du gestionnaire de jonction sont remplacés par les certificats MGMT_CLUSTER (alias VIP) du cluster en cours de jonction.
Conditions préalables
- Vérifiez qu'un certificat est disponible dans le dispositif NSX Manager. Notez que sur un gestionnaire global en veille, l'opération d'importation de l'interface utilisateur est désactivée. Pour plus d'informations sur la commande d'importation REST API d'un Gestionnaire global en veille, reportez-vous à Importer un certificat auto-signé ou signé par une autorité de certification.
- Le certificat de serveur doit contenir l'extension des contraintes de base
basicConstraints = CA:FALSE
. - Vérifiez que le certificat est valide en effectuant l'appel d'API suivant :
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=validate
- Ayez votre chaîne d'ID de nœud disponible, le cas échéant. Pour obtenir de l'aide sur la localisation de ces informations à l'aide de l'interface utilisateur ou de la CLI, reportez-vous à Recherche d'ID de nœud pour les appels d'API de certificat.