Dopo aver installato NSX, i nodi e il cluster del gestore presentano certificati autofirmati. Sostituire i certificati autofirmati con un certificato firmato dall'autorità di certificazione e utilizzare un singolo certificato comune firmato dall'autorità di certificazione con un SAN (nome alternativo dell'oggetto) che corrisponda ai nomi di dominio completi (FQDN) e agli IP di tutti i nodi e al VIP per il cluster. È possibile eseguire una sola operazione di sostituzione del certificato alla volta.

Se si utilizza federazione di NSX, è possibile sostituire i certificati dell'API di GM, il certificato del cluster GM, i certificati dell'API di LM e i certificati del cluster LM utilizzando le API seguenti.

A partire da in federazione di NSX 4.1, è possibile sostituire il certificato autofirmato utilizzato per la comunicazione GM-LM. Inoltre, il certificato di Global Manager ora genera il certificato di Local Manager al momento della registrazione di Local Manager. Il certificato di Local Manager non è più un certificato predefinito.

Quando si sostituisce il certificato di Global Manager o Local Manager, il gestore del sito lo invia a tutti gli altri siti federati, in modo da non interrompere la comunicazione.

La suite di crittografia TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 può ora essere utilizzata o sostituita per la comunicazione:
  • tra i nodi NSX nel cluster.
  • in federazione di NSX.
  • tra NSX Manager e NSX Edge.
  • tra NSX Manager e l'agente di NSX.
  • della REST API di NSX Manager (esterna).

È inoltre possibile sostituire i certificati di identità entità della piattaforma creati automaticamente per le appliance di Global Manager e Local Manager. Per informazioni dettagliate sui certificati autofirmati configurati automaticamente per federazione di NSX, vedere Certificati per NSX e federazione di NSX.

Nota: Per Cloud Service Manager, non è possibile sostituire il certificato HTTP in un ambiente di NSX.

Prerequisiti

  • Verificare che in NSX Manager sia disponibile un certificato. Si tenga presente che in un Global Manager di standby l'operazione di importazione dell'interfaccia utente è disattivata. Per informazioni dettagliate sul comando di importazione della REST API per un Global Manager di standby, fare riferimento a Importazione di un certificato autofirmato o firmato da un'autorità di certificazione.
  • Il certificato del server deve contenere l'estensione dei vincoli di base basicConstraints = CA:FALSE.
  • Verificare che il certificato sia valido eseguendo la seguente chiamata API:

    GET https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=validate

  • Se necessario, fare in modo che la stringa dell'ID del nodo sia disponibile. Per istruzioni su come individuate queste informazioni utilizzando l'interfaccia utente o la CLI, fare riferimento a Ricerca degli ID dei nodi per le chiamate API dei certificati.
Nota: Non utilizzare script automatizzati per sostituire più certificati contemporaneamente. È possibile che si verifichino errori.

Procedura

  1. Con i privilegi admin, accedere a NSX Manager.
  2. Selezionare Sistema > Certificati.
  3. Nella colonna degli ID, selezionare l'ID del certificato che si desidera utilizzare e copiare l'ID del certificato dalla finestra a comparsa.
    Assicurarsi che quando questo certificato è stato importato, l'opzione Certificato di servizio fosse impostata su No.

    Nota: la catena di certificati deve essere nell'ordine standard di settore, ovvero certificato - intermedio - root.

  4. Per sostituire il certificato API di un nodo Manager, utilizzare la chiamata API seguente. Per trovare l'ID del nodo Unified Appliance, fare riferimento a Ricerca degli ID dei nodi per le chiamate API dei certificati.
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=API&node_id=<node-id>
    Ad esempio:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=API&node_id=e61c7537-3090-4149-b2b6-19915c20504f
    Nota: Se si sostituisce il certificato CBM_MP di un nodo Manager, una volta completata l'operazione del certificato, il servizio di gestione di NSX in tale nodo viene riavviato in modo che possa iniziare a utilizzare il nuovo certificato. Durante questo riavvio, l'interfaccia utente e le API non sono accessibili finché il servizio del nodo Manager non è di nuovo attivo e in esecuzione. Se in questo nodo Manager è presente VIP, viene spostato in un altro nodo Manager. Prima di sostituire i certificati CBM_MP in altri nodi Manager, assicurarsi che il servizio di gestione sia attivo e in esecuzione eseguendo un comando get cluster status e controllando lo stato del cluster del membro del gruppo MANAGER.
  5. Per sostituire il certificato del VIP del cluster del manager, utilizzare la chiamata API:
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=MGMT_CLUSTER
    Ad esempio:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/d60c6a07-6e59-4873-8edb-339bf75711?action=apply_certificate&service_type=MGMT_CLUSTER

    Per ulteriori informazioni sull'API, vedere Guida di NSX API. Questo passaggio non è necessario se non è stato configurato il VIP.

  6. (Facoltativo) Per sostituire i certificati dell'identità entità del Local Manager e del Global Manager per federazione di NSX, utilizzare la seguente chiamata API. L'intero cluster NSX Manager (Local Manager e Global Manager) richiede un singolo certificato PI.
    Nota: Non utilizzare questa procedura per sostituire un certificato scaduto. Per indicazioni sulla sostituzione di un certificato scaduto, fare riferimento a Aggiunta di un'assegnazione di ruolo o di un'identità entità. Se non si riesce a importare un certificato in un Global Manager di standby, fare riferimento a Importazione di un certificato autofirmato o firmato da un'autorità di certificazione per il comando della REST API.
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=<service-type>
    Ad esempio:
    POST https://<local-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=LOCAL_MANAGER
    oppure
    POST https://<global-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=GLOBAL_MANAGER
  7. Per sostituire i certificati APH-AR, utilizzare la chiamata API seguente. Per trovare l'ID del nodo Unified Appliance, fare riferimento a Ricerca degli ID dei nodi per le chiamate API dei certificati.
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=APH&node_id=<node-id>
    Ad esempio:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=APH&node_id=93350f42-16b4-cb4e-99e0-fce2d17635a3
  8. A partire da NSX 4.1, per sostituire il nodo di trasporto o i certificati dell'host Edge, utilizzare la chiamata API seguente. È necessario generare la chiave privata all'esterno di NSX Manager. Se si genera la richiesta CSR in NSX Manager, non è possibile recuperare la chiave privata richiesta nella chiamata API. Se si tratta di un certificato firmato dall'autorità di certificazione, includere l'intera catena nel seguente ordine: certificato - intermedio - root. L'intero certificato deve essere fornito in una singola riga. Sostituire inoltre qualsiasi carattere di fine riga con \n. Questa operazione è obbligatoria nei valori di pem_encoded e della chiave privata. Per sostituire i caratteri di nuova riga con \n è possibile utilizzare questo comando nei sistemi basati su UNIX: awk '{gsub(/\\n/,"\n")}1' certificate.pem.
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/action/replace-host-certificate/<transport-node-id>
    {
          "display_name": "cert_name",
          "pem_encoded": "---BEGIN CERTIFICATE---\n<certificate>\n---END CERTIFICATE-----\n",   
          "private_key": "---BEGIN RSA PRIVATE KEY---\n<private rsa key>\n---END RSA PRIVATE KEY---\n"
        }
    Ad esempio:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/aaction/replace-host-certificate/8e84d532-2cd8-46d8-90c7-04862980f69c
    {
        "display_name": "cert_sample",
        "pem_encoded": "-----BEGIN CERTIFICATE-----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\niKbzpCGe0P0=\n-----END CERTIFICATE-----\n-----BEGIN CERTIFICATE-----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\n9bcn\n-----END CERTIFICATE-----\n",
        "private_key": "-----BEGIN RSA PRIVATE KEY-----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\nhBQ1pzzmwGnO6AyxTxgoY5CosK2Ga1KjsWUXqay2QwIln+E+xxsm\n-----END RSA PRIVATE KEY-----\n"
    }
    Utilizzare l'ID del nodo di trasporto per il node_id, non l'ID Unified Appliance (UA). Per individuare l'ID del nodo, fare riferimento a Ricerca degli ID dei nodi per le chiamate API dei certificati.

    Per informazioni dettagliate sui certificati autofirmati predefiniti configurati dal sistema o per i requisiti dei certificati di VMware Cloud Foundation, consultare Tipi di certificati.