API 呼び出しを使用すると、マネージャ ノードまたはマネージャ クラスタ仮想 IP (VIP) の証明書を置き換えることができます。

NSX-T Data Center のインストール後、マネージャ ノードとクラスタに自己署名証明書が作成されます。自己署名証明書を CA 署名証明書に置き換えることを推奨します。また、単一の共通 CA 署名証明書を使用し、SAN (Subject Alternative Names) リストでクラスタのノードと VIP を照合することも推奨します。システムによって構成されたデフォルトの自己署名証明書の詳細については、証明書のタイプを参照してください。

フェデレーションを使用している場合は、次の API を使用して、グローバル マネージャ ノード、グローバル マネージャ クラスタ、ローカル マネージャ ノード、ローカル マネージャ クラスタの証明書を置き換えることができます。グローバル マネージャおよびローカル マネージャのアプライアンスに自動的に作成されたプラットフォーム プリンシパル ID 証明書を置き換えることもできます。フェデレーション用の自己署名証明書の自動構成の詳細については、NSX フェデレーション の証明書を参照してください。

前提条件

  • NSX Manager で証明書が使用可能であることを確認します。自己署名証明書または CA 署名付き証明書のインポート を参照してください。
  • サーバ証明書には、基本的な制約拡張機能 basicConstraints = cA:FALSE が含まれている必要があります。
  • 次の API 呼び出しを行い、証明書が有効であることを確認します。

    GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>?action=validate

手順

  1. ブラウザから、NSX Manager (https://<nsx-manager-ip-address>) に管理者権限でログインします。
  2. [システム] > [証明書] の順に選択します。
  3. [ID] 列で、使用する証明書の ID をクリックし、ポップアップ ウィンドウから証明書 ID をコピーします。
    この証明書のインポート時に [サービス証明書 ] オプションが [いいえ] に設定されていたことを確認します。
  4. マネージャ ノードの証明書を置き換えるには、POST /api/v1/node/services/http?action=apply_certificate API 呼び出しを使用します。次はその例です。
    POST https://<nsx-mgr>/api/v1/node/services/http?action=apply_certificate&certificate_id=e61c7537-3090-4149-b2b6-19915c20504f

    注:証明書チェーンは、業界標準である「証明書 - 中間 - ルート」の順序にする必要があります。

    API の詳細については、『NSX-T Data Center API リファレンス』を参照してください。

  5. マネージャ クラスタ VIP の証明書を置き換えるには、POST /api/v1/cluster/api-certificate?action=set_cluster_certificate API 呼び出しを使用します。次はその例です。
    POST https://<nsx-mgr>/api/v1/cluster/api-certificate?action=set_cluster_certificate&certificate_id=d60c6a07-6e59-4873-8edb-339bf75711ac

    注:証明書チェーンは、業界標準である「証明書 - 中間 - ルート」の順序にする必要があります。

    API の詳細については、『NSX-T Data Center API リファレンス』を参照してください。VIP を構成していない場合、この手順を行う必要はありません。

  6. (オプション) フェデレーションのプリンシパル ID 証明書を置き換えるには、API 呼び出し POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation を使用します。次はその例です。 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation 
{ "cert_id": "<id>", 
"service_type": "LOCAL_MANAGER" }
  7. (オプション) 現在 NSX Manager クラスタに NSX Intelligence アプライアンスが展開されている場合は、NSX Intelligence アプライアンス上の NSX Manager ノード IP、証明書、サムプリントの情報を更新する必要があります。詳細については、VMware のナレッジベースの記事https://kb.vmware.com/s/article/78505を参照してください。