API 呼び出しを使用すると、マネージャ ノードまたはマネージャ クラスタ仮想 IP (VIP) の一部の証明書を置き換えることができます。一度に実行できる証明書の置き換え操作は 1 つだけです。

NSX-T Data Center のインストール後、マネージャ ノードとクラスタに自己署名証明書が作成されます。自己署名証明書を CA 署名証明書に置き換えることを推奨します。また、単一の共通 CA 署名証明書を使用し、SAN (Subject Alternative Names) リストでクラスタのノードと VIP を照合することも推奨します。システムによって構成されたデフォルトの自己署名証明書の詳細については、「証明書のタイプ」を参照してください。

NSX フェデレーション を使用している場合は、次の API を使用して、グローバル マネージャ ノード、グローバル マネージャ クラスタ、ローカル マネージャ ノード、および ローカル マネージャ クラスタ証明書を置き換えることができます。グローバル マネージャ および ローカル マネージャ のアプライアンスに自動的に作成されたプラットフォーム プリンシパル ID 証明書を置き換えることもできます。NSX フェデレーション用の自己署名証明書の自動構成の詳細については、「NSX フェデレーション の証明書」を参照してください。

前提条件

  • NSX Manager で証明書が使用可能であることを確認します。「自己署名証明書または CA 署名付き証明書のインポート」を参照してください。
  • サーバ証明書には、基本的な制約拡張機能 basicConstraints = cA:FALSE が含まれている必要があります。
  • 次の API 呼び出しを行い、証明書が有効であることを確認します。
    GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>?action=validate
    注: 自動スクリプトを使用して複数の証明書を同時に置き換えないでください。エラーが発生する可能性があります。

手順

  1. ブラウザから、NSX Manager (https://<nsx-manager-ip-address>) に管理者権限でログインします。
  2. [システム] > [証明書] の順に選択します。
  3. [ID] 列で、使用する証明書の ID をクリックし、ポップアップ ウィンドウから証明書 ID をコピーします。
    この証明書のインポート時に [サービス証明書 ] オプションが [いいえ] に設定されていたことを確認します。
  4. マネージャ ノードの証明書を置き換えるには、POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=API&node_id API 呼び出しを使用します。
    例: POST https://172.10.221.11/api/v1/trust-management/certificates/f096cc4b-2120-4762-b25d-fbcd2439ae80?action=apply_certificate&service_type=API&node_id=2f040f42-64a4-68a8-2648-0f8266a8d2e7

    注:証明書チェーンは、業界標準である「証明書 - 中間 - ルート」の順序にする必要があります。

    API の詳細については、『NSX-T Data Center Command-Line Interface リファレンス』を参照してください。

  5. マネージャ クラスタ VIP の証明書を置き換えるには、POST /api/v1/cluster/api-certificate?action=set_cluster_certificate API 呼び出しを使用します。
    例: POST https://<nsx-mgr>/api/v1/cluster/api-certificate?action=set_cluster_certificate&certificate_id=d60c6a07-6e59-4873-8edb-339bf75711ac

    注:証明書チェーンは、業界標準である「証明書 - 中間 - ルート」の順序にする必要があります。

    API の詳細については、『NSX-T Data Center API ガイド』を参照してください。VIP を構成していない場合、この手順を行う必要はありません。

  6. (オプション) NSX フェデレーションローカル マネージャ および グローバル マネージャ プリンシパル ID 証明書を置き換えるには、API 呼び出しを使用します。NSX Manager クラスタ全体(ローカル マネージャグローバル マネージャ)には、1 つの PI 証明書が必要です。
    POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
    たとえば、LM の場合: 
    POST https://<nsx-local-mgr>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
{
    "cert_id": "c5f13ec0-8075-441e-80b5-aeb707f6b87e",
    "service_type": "LOCAL_MANAGER"
}
    GM の場合: 
    POST https://<nsx-global-manager>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
{
    "cert_id": "c6f13ec0-8075-441e-80b5-aeb707f6b87e",
    "service_type": "GLOBAL_MANAGER"
}
  7. (オプション) 現在 NSX Manager クラスタに NSX Intelligence アプライアンスが展開されている場合は、NSX Intelligence アプライアンス上の NSX Manager ノード IP、証明書、サムプリントの情報を更新する必要があります。詳細については、VMware のナレッジベースの記事https://kb.vmware.com/s/article/78505を参照してください。
  8. APH-APR 証明書を置き換えるには、API 呼び出しを使用します。 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_appliance_proxy_certificate_for_inter_site_communication
    次はその例です。 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_appliance_proxy_certificate_for_inter_site_communication
{
 "cert_id": "77c5dc5c-6ba5-4e74-a801-c27dc09be76b",
 "used_by_id": "4e15955d-acd1-4g49-abae-0c6ea65bf438"
}