新しい NSX Manager ノードをクラスタに追加し、クラスタのステータスを検証したら、SSL 証明書を新しいノードに追加する必要があります。

次の手順では、 <node_FQDN> を新しい NSX Manager ノードの FQDN に置き換えます。

手順

  1. Web ブラウザで、新しい NSX Manager ノードにログインします。
    https://<node_FQDN>/login.jsp?local=true
  2. 新しい NSX Manager ノードの証明書署名リクエスト (CSR) を生成します。
    1. [システム] > [証明書] > [CSR] > [CSR の生成] の順にクリックし、[CSR の生成] を選択します。
    2. CSR 情報を入力し、[保存] をクリックします。
      オプション 説明
      共通名

      ノードの完全修飾ドメイン名 (FQDN) を入力します。

      例:nsx-wld-3.vrack.vsphere.local

      名前 証明書の名前を割り当てます。

      例:nsx-wld-3.vrack.vsphere.local

      組織単位

      この証明書を処理している組織内の部門を入力します。

      例:VMware Engineering

      組織名

      組織名を適切なサフィックスを付けて入力します。

      例:VMware

      市区町村

      組織が所在する市区町村を追加します。

      例:Palo Alto

      都道府県

      組織が所在する都道府県を追加します。

      例:California

      組織の場所を追加します。

      例:United States (US)

      メッセージ アルゴリズム

      証明書の暗号化アルゴリズムを設定します。

      例:RSA
      キーのサイズ

      暗号化アルゴリズムのキー ビット サイズを設定します。

      例:2048
      説明 後でこの証明書を識別できるように特定の詳細を入力します。
    3. [保存] をクリックします。
  3. CSR を選択し、[アクション] をクリックして、[CSR PEM のダウンロード] を選択します。
  4. ダウンロードしたファイルの名前を <node_FQDN>.csr に変更し、管理ドメイン vCenter Server のルート ディレクトリにアップロードします。
  5. SSH を使用して root ユーザーとして管理ドメイン vCenter Server に接続し、次のコマンドを実行します。
    bash shell
  6. 次のコマンドを実行します。
    openssl x509 -req -extfile  <(printf "subjectKeyIdentifier = hash
             nauthorityKeyIdentifier=keyid,issuer
             nkeyUsage = nonRepudiation, digitalSignature, keyEncipherment 
             nextendedKeyUsage=serverAuth,clientAuth 
             nbasicConstraints = CA:false 
             nsubjectAltName = DNS:<node_FQDN>" )  
             -days 365 -in <node_FQDN>.csr -CA /var/lib/vmware/vmca/root.cer -CAkey /var/lib/vmware/vmca/privatekey.pem 
             -CAcreateserial -out <node_FQDN>.crt -sha256
    想定される出力は次の例のようになります。
    Signature ok
    subject=/L=PA/ST=CA/C=US/OU=VMware Engineering/O=VMware/CN=nsx-wld-3.vrack.vsphere.local
    Getting CA Private Key
  7. vCenter Server CA ルート キーを証明書に追加します。
    cat /var/lib/vmware/vmca/root.cer >> <node_FQDN>.crt
  8. vCenter Server の root ディレクトリから <node_FQDN>.crt ファイルをダウンロードします。
  9. <node_FQDN>.crt を NSX Manager ノードにインポートします。
    1. Web ブラウザで、新しい NSX Manager ノードにログインします。
      https://<node_FQDN>/login.jsp?local=true
    2. [システム] > [証明書] > [CSR] の順にクリックします。
    3. 新しいノードの CSR を選択し、[アクション] をクリックして、[CSR の証明書のインポート] を選択します。
    4. 手順 8 でダウンロードした <node_FQDN>.crt ファイルを参照して選択します。
  10. 証明書を NSX Manager ノードに適用します。
    1. [システム] > [証明書] > [証明書] の順にクリックします。
    2. 新しいノードの証明書の ID を見つけてコピーします。
    3. curl コマンドを実行でき、NSX Manager ノードにアクセスできるシステム(vCenter Server や SDDC Manager など)から、次のコマンドを実行して CA 署名付き証明書を新しい NSX Manager ノードにインストールします。
      curl -H 'Accept: application/json' -H 'Content-Type: application/json' --insecure -u 'admin:<nsx_admin_password>' -X POST 'https://<node_FQDN>/api/v1/node/services/http?action=apply_certificate&certificate_id=<certificate_id>'
      <nsx_admin_password> を NSX Manager ノードの管理者パスワードに置き換えます。 <certificate_id> を手順 10b の証明書 ID に置き換えます。
  11. SDDC Manager ユーザー インターフェイスで、NSX Manager 証明書を認証局 (CA) の信頼された CA 署名付き証明書に置き換えます。証明書の管理を参照してください。

次のタスク

重要:

証明書失効リスト (CRL) の検証に失敗したために証明書の割り当てに失敗する場合は、https://kb.vmware.com/kb/78794を参照してください。CRL チェックを無効にして証明書を割り当てる場合は、証明書を割り当てた後、CRL チェックを再度有効にする必要があります。