Dopo aver installato NSX, i nodi e il cluster Manager presentano certificati autofirmati. Facoltativamente, è possibile sostituire i certificati autofirmati API e MGMT_CLUSTER (denominato anche VIP) con un certificato firmato dall'autorità di certificazione comune con un nome alternativo dell'oggetto (SAN) che corrisponda ai nomi di dominio completi (FQDN) e agli IP di tutti i nodi e al VIP per il cluster. È possibile eseguire una sola operazione di sostituzione del certificato alla volta.

Se si utilizza federazione di NSX, è possibile sostituire i certificati dell'API di GM, il certificato MGMT_CLUSTER (denominato anche VIP) di GM, i certificati dell'API di LM e i certificati MGMT_CLUSTER (denominati anche VIP) di LM utilizzando le API seguenti.

A partire da federazione di NSX 4.1, è possibile sostituire un certificato autofirmato utilizzato per la comunicazione GM-LM.

Quando si sostituisce il certificato GLOBAL_MANAGER o LOCAL_MANAGER, il gestore del sito li invia a tutti gli altri siti federati, in modo da mantenere intatta la comunicazione.

La suite di crittografia TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 può ora essere utilizzata o sostituita per la comunicazione:
  • Nodi di NSX in un cluster.
  • In federazione di NSX.
  • Da NSX Manager a NSX Edge.
  • Da NSX Manager all'agente di NSX.
  • Comunicazione REST API NSX Manager (esterna).

È inoltre possibile sostituire i certificati GLOBAL_MANAGER e LOCAL_MANAGER. Per informazioni dettagliate sui certificati autofirmati configurati automaticamente per federazione di NSX, vedere Certificati per NSX e federazione di NSX.

A partire da NSX 4.2, i servizi API in ogni Manager e VIP condividono lo stesso certificato. È inoltre possibile sostituire in blocco il certificato condiviso eseguendo l'API "batch replace" seguente. 
POST https://{{ip}}/api/v1/trust-management/certificates/action/batch-replace
{
    "certificate_replacements": [
        {
         "old_certificate_id": "fe3d2623-df43-4757-8018-b1d8223a1475"
         "new_certificate_id": "66370296-cacf-45a7-9912-6e2718df87bb"
        }
    ]
}

Facoltativamente, è inoltre possibile sostituire ciascun servizio API e il servizio VIP con i loro certificati univoci eseguendo l'API "apply certificate" indicata nella procedura seguente.

Le API batch replace e apply certificate devono essere eseguite dopo la creazione del cluster di Manager, perché a partire da NSX 4.2 i certificati API del Manager che viene aggiunto vengono sostituiti dai certificati MGMT_CLUSTER (denominati anche VIP) del cluster a cui il Manager viene aggiunto.

Prerequisiti

  • Verificare che in NSX Manager sia disponibile un certificato. Si tenga presente che in un Global Manager di standby l'operazione di importazione dell'interfaccia utente è disattivata. Per informazioni dettagliate sul comando di importazione della REST API per un Global Manager di standby, fare riferimento a Importazione di un certificato autofirmato o firmato da un'autorità di certificazione.
  • Il certificato del server deve contenere l'estensione dei vincoli di base basicConstraints = CA:FALSE.
  • Verificare che il certificato sia valido eseguendo la seguente chiamata API:

    GET https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=validate

  • Se necessario, fare in modo che la stringa dell'ID del nodo sia disponibile. Per istruzioni su come individuate queste informazioni utilizzando l'interfaccia utente o la CLI, fare riferimento a Ricerca degli ID dei nodi per le chiamate API dei certificati.
Nota: Non utilizzare script automatizzati per sostituire più certificati contemporaneamente. È possibile che si verifichino errori.

Procedura

  1. Con i privilegi admin, accedere a NSX Manager.
  2. Selezionare Sistema > Certificati.
  3. Nella colonna degli ID, selezionare l'ID del certificato che si desidera utilizzare e copiare l'ID del certificato dalla finestra a comparsa.
    Assicurarsi che quando questo certificato è stato importato, l'opzione Certificato di servizio fosse impostata su No.

    Nota: la catena di certificati deve essere nell'ordine standard di settore, ovvero certificato - intermedio - root.

  4. Per sostituire il certificato API di un nodo Manager, utilizzare la chiamata API seguente. Per trovare l'ID del nodo Unified Appliance, fare riferimento a Ricerca degli ID dei nodi per le chiamate API dei certificati. 
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=API&node_id=<node-id>
    Ad esempio:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=API&node_id=e61c7537-3090-4149-b2b6-19915c20504f
  5. Per sostituire il certificato del VIP del cluster del manager, utilizzare la chiamata API: 
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=MGMT_CLUSTER
    Ad esempio:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/d60c6a07-6e59-4873-8edb-339bf75711?action=apply_certificate&service_type=MGMT_CLUSTER

    Assicurarsi che il valore dell'identificazione personale venga aggiornato per ogni Local Manager della posizione dall'interno del Location Manager di Global Manager. In caso contrario, la comunicazione tra GM e LM viene interrotta. Se l'identificazione personale non viene aggiornata, le attività come la selezione di un cluster NSX Edge o la richiesta di un riepilogo BGP di livello 0 dall'interfaccia utente di Global Manager non funzioneranno. Per ulteriori informazioni sull'API, vedere Guida di NSX API. Questo passaggio non è necessario se non è stato configurato il VIP.

  6. (Facoltativo) Per sostituire i certificati LOCAL_MANAGER e GLOBAL_MANAGER per federazione di NSX, utilizzare la chiamata API seguente. L'intero cluster NSX Manager (Local Manager e Global Manager) richiede un certificato LOCAL_MANAGER e un certificato GLOBAL_MANAGER. 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=<service-type>
    Ad esempio: 
    POST https://<local-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=LOCAL_MANAGER
    oppure 
    POST https://<global-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=GLOBAL_MANAGER
  7. Per sostituire i certificati APH (denominati anche APH_AR), utilizzare la chiamata API seguente. Per trovare l'ID del nodo Unified Appliance, fare riferimento a Ricerca degli ID dei nodi per le chiamate API dei certificati. 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=APH&node_id=<node-id>
    Ad esempio: 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=APH&node_id=93350f42-16b4-cb4e-99e0-fce2d17635a3
  8. A partire da NSX 4.1, per sostituire il nodo di trasporto (TN) o i certificati dell'host Edge (denominati certificati TN), utilizzare la chiamata API seguente. È necessario generare la chiave privata all'esterno di NSX Manager. Se si genera la richiesta CSR in NSX Manager, non è possibile recuperare la chiave privata richiesta nella chiamata API. Se si tratta di un certificato firmato dall'autorità di certificazione, includere l'intera catena nel seguente ordine: certificato - intermedio - root. L'intero certificato deve essere fornito in una singola riga. Sostituire inoltre qualsiasi carattere di fine riga con \n. Questa operazione è obbligatoria nei valori di pem_encoded e della chiave privata. Per sostituire i caratteri di nuova riga con \n è possibile utilizzare questo comando nei sistemi basati su UNIX: awk '{gsub(/\\n/,"\n")}1' certificate.pem. 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/action/replace-host-certificate/<transport-node-id>
{
      "display_name": "cert_name",
      "pem_encoded": "---BEGIN CERTIFICATE---\n<certificate>\n---END CERTIFICATE-----\n",   
      "private_key": "---BEGIN RSA PRIVATE KEY---\n<private rsa key>\n---END RSA PRIVATE KEY---\n"
    }
    Ad esempio: 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/aaction/replace-host-certificate/8e84d532-2cd8-46d8-90c7-04862980f69c
{
    "display_name": "cert_sample",
    "pem_encoded": "-----BEGIN CERTIFICATE-----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\niKbzpCGe0P0=\n-----END CERTIFICATE-----\n-----BEGIN CERTIFICATE-----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\n9bcn\n-----END CERTIFICATE-----\n",
    "private_key": "-----BEGIN RSA PRIVATE KEY-----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\nhBQ1pzzmwGnO6AyxTxgoY5CosK2Ga1KjsWUXqay2QwIln+E+xxsm\n-----END RSA PRIVATE KEY-----\n"
}
    Utilizzare l'ID del nodo di trasporto per il node_id, non l'ID Unified Appliance (UA). Per individuare l'ID del nodo, fare riferimento a Ricerca degli ID dei nodi per le chiamate API dei certificati.

    Per informazioni dettagliate sui certificati autofirmati predefiniti configurati dal sistema o per i requisiti dei certificati di VMware Cloud Foundation, consultare Tipi di certificati.