Dopo aver aggiunto il nuovo nodo NSX Manager al cluster e aver convalidato lo stato del cluster è necessario aggiungere un certificato SSL al nuovo nodo.

Nei passaggi seguenti sostituire <node_FQDN> con il nome di dominio completo del nuovo nodo NSX Manager.

Procedura

  1. In un browser Web accedere al nuovo nodo NSX Manager. 
    https://<node_FQDN>/login.jsp?local=true
  2. Generare una richiesta di firma del certificato (CSR) per il nuovo nodo NSX Manager.
    1. Fare clic su Sistema > Certificati > CSR > Genera CSR e selezionare Genera CSR.
    2. Immettere le informazioni relative alla richiesta CSR e fare clic su Salva.
      Opzione Descrizione
      Nome comune

      Immettere il nome di dominio completo (FQDN) del nodo.

      Ad esempio, nsx-wld-3.vrack.vsphere.local.
      Nome Assegnare un nome per il certificato.

      Ad esempio, nsx-wld-3.vrack.vsphere.local.
      Unità organizzativa

      Immettere il reparto dell'organizzazione che gestisce questo certificato.

      Ad esempio, VMware Engineering.
      Nome organizzazione

      Immettere il nome dell'organizzazione con i suffissi applicabili.

      Ad esempio, VMware.
      Località

      Aggiungere la città in cui si trova l'organizzazione.

      Ad esempio, Palo Alto.
      Stato

      Aggiungere lo stato in cui si trova l'organizzazione.

      Ad esempio, California.
      Paese

      Aggiungere la posizione dell'organizzazione.

      Ad esempio, Stati Uniti.
      Algoritmo messaggio

      Impostare l'algoritmo di crittografia per il certificato.

      Ad esempio, RSA.
      Dimensioni chiave

      Impostare le dimensioni dei bit della chiave dell'algoritmo di crittografia.

      Ad esempio, 2048.
      Descrizione Immettere dettagli specifici che consentiranno di identificare il certificato in futuro.
    3. Fare clic su Salva.
  3. Selezionare la richiesta CSR, fare clic su Azioni e selezionare Scarica PEM CSR.
  4. Rinominare il file scaricato con <node_FQDN>.csr e caricarlo nella directory root del vCenter Server del dominio di gestione.
  5. Accedere tramite SSH al vCenter Server del dominio di gestione come utente root ed eseguire il comando seguente: 
    bash shell
  6. Eseguire il comando seguente: 
    openssl x509 -req -extfile  <(printf "subjectKeyIdentifier = hash
         nauthorityKeyIdentifier=keyid,issuer
         nkeyUsage = nonRepudiation, digitalSignature, keyEncipherment 
         nextendedKeyUsage=serverAuth,clientAuth 
         nbasicConstraints = CA:false 
         nsubjectAltName = DNS:<node_FQDN>" )  
         -days 365 -in <node_FQDN>.csr -CA /var/lib/vmware/vmca/root.cer -CAkey /var/lib/vmware/vmca/privatekey.pem 
         -CAcreateserial -out <node_FQDN>.crt -sha256
    L'output previsto è simile all'esempio seguente: 
    Signature ok
subject=/L=PA/ST=CA/C=US/OU=VMware Engineering/O=VMware/CN=nsx-wld-3.vrack.vsphere.local
Getting CA Private Key
  7. Aggiungere la chiave root CA di vCenter Server al certificato. 
    cat /var/lib/vmware/vmca/root.cer >> <node_FQDN>.crt
  8. Scaricare il file <node_FQDN>.crt dalla directory root di vCenter Server.
  9. Importare <node_FQDN>.crt nel nodo NSX Manager.
    1. In un browser Web accedere al nuovo nodo NSX Manager. 
      https://<node_FQDN>/login.jsp?local=true
    2. Fare clic su Sistema > Certificati > CSR.
    3. Selezionare la richiesta CSR per il nuovo nodo, fare clic su Azioni e selezionare Importa certificato per CSR.
    4. Individuare e selezionare il file <node_FQDN>.crt scaricato nel passaggio 8.
  10. Applicare il certificato al nodo NSX Manager.
    1. Fare clic su Sistema > Certificati > Certificati.
    2. Individuare e copiare l'ID del certificato per il nuovo nodo.
    3. Da un sistema che dispone del comando curl e può accedere ai nodi NSX Manager (ad esempio, vCenter Server o SDDC Manager) eseguire il comando seguente per installare il certificato firmato dall'autorità di certificazione nel nuovo nodo NSX Manager. 
      curl -H 'Accept: application/json' -H 'Content-Type: application/json' --insecure -u 'admin:<nsx_admin_password>' -X POST 'https://<node_FQDN>/api/v1/node/services/http?action=apply_certificate&certificate_id=<certificate_id>'
      Sostituire <nsx_admin_password> con la password di amministratore per il nodo NSX Manager. Sostituire <certificate_id> con l'ID del certificato del passaggio 10b.
  11. Nell'interfaccia utente di SDDC Manager sostituire i certificati di NSX Manager con certificati firmati da un'autorità di certificazione attendibili. Vedere Gestione dei certificati in VMware Cloud Foundation.

Operazioni successive

Importante:

Se l'assegnazione del certificato non riesce perché la verifica dell'elenco di revoche di certificati (CRL) non riesce, vedere https://kb.vmware.com/kb/78794. Se si disattiva il controllo dell'elenco di revoche di certificati per assegnare il certificato, dopo aver assegnato il certificato è necessario riabilitare tale controllo.