Dopo aver installato NSX, i nodi e il cluster Manager presentano certificati autofirmati. Sostituire i certificati autofirmati con un certificato firmato dall'autorità di certificazione e utilizzare un singolo certificato comune firmato dall'autorità di certificazione con un SAN (nome alternativo dell'oggetto) che corrisponda a tutti i nodi e al VIP per il cluster. È possibile eseguire una sola operazione di sostituzione del certificato alla volta.

Se si utilizza federazione di NSX, è possibile sostituire i certificati dell'API di GM, il certificato del cluster GM, i certificati dell'API di LM e i certificati del cluster LM utilizzando le API seguenti.

Quando si sostituisce il certificato di GM o LM, il gestore del sito li invia a tutti gli altri siti federati, in modo da mantenere intatta la comunicazione.

La suite di crittografia TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 può ora essere utilizzata o sostituita per la comunicazione:
  • tra i nodi NSX nel cluster.
  • in federazione di NSX.
  • Da NSX Manager a NSX Edge.
  • Da NSX Manager all'agente di NSX.
  • della REST API di NSX Manager (esterna).

È inoltre possibile sostituire i certificati di identità entità della piattaforma creati automaticamente per le appliance di Global Manager e Local Manager. Per informazioni dettagliate sui certificati autofirmati configurati automaticamente per federazione di NSX, vedere Certificati per federazione di NSX.

Nota: Per Cloud Service Manager, non è possibile sostituire il certificato HTTP in un ambiente di NSX.

Prerequisiti

  • Verificare che in NSX Manager sia disponibile un certificato. Si tenga presente che in un Global Manager di standby l'operazione di importazione dell'interfaccia utente è disattivata. Per informazioni dettagliate sul comando di importazione della REST API per un Global Manager di standby, fare riferimento a Importazione di un certificato autofirmato o firmato da un'autorità di certificazione.
  • Il certificato del server deve contenere l'estensione dei vincoli di base basicConstraints = cA:FALSE.
  • Verificare che il certificato sia valido eseguendo la seguente chiamata API:

    GET https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=validate

    Nota: Non utilizzare script automatizzati per sostituire più certificati contemporaneamente. È possibile che si verifichino errori.

Procedura

  1. Con i privilegi admin, accedere a NSX Manager.
  2. Selezionare Sistema > Certificati.
  3. Nella colonna degli ID, selezionare l'ID del certificato che si desidera utilizzare e copiare l'ID del certificato dalla finestra a comparsa.
    Assicurarsi che quando questo certificato è stato importato, l'opzione Certificato di servizio fosse impostata su No.

    Nota: la catena di certificati deve essere nell'ordine standard di settore "certificato - intermedio - root".

  4. Per sostituire il certificato di un nodo del manager, utilizzare la chiamata API: 
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=API&node_id=<node-id>
    Ad esempio:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=API&node_id=e61c7537-3090-4149-b2b6-19915c20504f

    Per ulteriori informazioni sull'API, vedere Guida di NSX API.

  5. Per sostituire il certificato del VIP del cluster del manager, utilizzare la chiamata API: 
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=MGMT_CLUSTER
    Ad esempio:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/d60c6a07-6e59-4873-8edb-339bf75711?action=apply_certificate&service_type=MGMT_CLUSTER

    Nota: la catena di certificati deve essere nell'ordine standard di settore, ovvero certificato - intermedio - root.

    Per ulteriori informazioni sull'API, vedere Guida di NSX API. Questo passaggio non è necessario se non è stato configurato il VIP.

  6. (Facoltativo) Per sostituire i certificati dell'identità entità del Local Manager e del Global Manager per federazione di NSX, utilizzare la seguente chiamata API. L'intero cluster NSX Manager (Local Manager e Global Manager) richiede un singolo certificato PI.
    Nota: Non utilizzare questa procedura per sostituire un certificato dell'identità entità non correlato a federazione di NSX. Per indicazioni sulla sostituzione di un certificato dell'identità entità, fare riferimento a Aggiunta di un'assegnazione di ruolo o di un'identità entità. 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=<service-type>
    Ad esempio: 
    POST https://<local-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=LOCAL_MANAGER
    oppure 
    POST https://<global-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=GLOBAL_MANAGER
  7. Per sostituire i certificati APH-APR, utilizzare la chiamata API: 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=APH
    Ad esempio: 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be79b?action=apply_certificate&service_type=APH