API 呼び出しを使用すると、マネージャ ノードまたはマネージャ クラスタ仮想 IP (VIP) の一部の証明書を置き換えることができます。

NSX のインストール後、マネージャ ノードとクラスタに自己署名証明書が作成されます。自己署名証明書を CA 署名証明書に置き換えることを推奨します。また、単一の共通 CA 署名証明書を使用し、SAN (Subject Alternative Names) リストでクラスタのノードと VIP を照合することも推奨します。システムによって構成されたデフォルトの自己署名証明書の詳細については、証明書のタイプを参照してください。

NSX フェデレーション を使用している場合は、次の API を使用して、グローバル マネージャ ノード、グローバル マネージャ クラスタ、ローカル マネージャ ノード、および ローカル マネージャ クラスタ証明書を置き換えることができます。

GM または LM 証明書を置き換えると、サイト マネージャはこれらを他のすべてのフェデレーション サイトに送信します。通信はそのまま維持されます。

グローバル マネージャ および ローカル マネージャ のアプライアンスに自動的に作成されたプラットフォーム プリンシパル ID 証明書を置き換えることもできます。NSX フェデレーション用の自己署名証明書の自動構成の詳細については、NSX フェデレーション の証明書を参照してください。

注: Cloud Service Manager では、 NSX 環境の HTTP 証明書を置き換えることはできません。

前提条件

  • NSX Manager で証明書が使用可能であることを確認します。自己署名証明書または CA 署名付き証明書のインポート を参照してください。
  • サーバ証明書には、基本的な制約拡張機能 basicConstraints = cA:FALSE が含まれている必要があります。
  • 次の API 呼び出しを行い、証明書が有効であることを確認します。

    GET https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=validate

手順

  1. 管理者権限で NSX Manager にログインします。
  2. [システム] > [証明書] の順に選択します。
  3. [ID] 列で、使用する証明書の ID を選択し、ポップアップ ウィンドウから証明書 ID をコピーします。
    この証明書のインポート時に [サービス証明書 ] オプションが [いいえ] に設定されていたことを確認します。

    注:証明書チェーンは、業界標準である「証明書 - 中間 - ルート」の順序にする必要があります。

  4. マネージャ ノードの証明書を置き換えるには、API 呼び出しを使用します。 
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=API&node_id=<node-id>
    次はその例です。
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=API&node_id=e61c7537-3090-4149-b2b6-19915c20504f

    API の詳細については、『NSX API ガイド』を参照してください。

  5. マネージャ クラスタ VIP の証明書を置き換えるには、API 呼び出しを使用します。 
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=MGMT_CLUSTER
    次はその例です。
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/d60c6a07-6e59-4873-8edb-339bf75711?action=apply_certificate&service_type=MGMT_CLUSTER

    注:証明書チェーンは、業界標準である「証明書 - 中間 - ルート」の順序にする必要があります。

    API の詳細については、『NSX API ガイド』を参照してください。VIP を設定していない場合、この手順を行う必要はありません。

  6. (オプション) NSX フェデレーションローカル マネージャ および グローバル マネージャ プリンシパル ID 証明書を置き換えるには、API 呼び出しを使用します。NSX Manager クラスタ全体(ローカル マネージャグローバル マネージャ)には、1 つの PI 証明書が必要です。 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=<service-type>
    次はその例です。 
    POST https://<local-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=LOCAL_MANAGER
    または 
    POST https://<global-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=GLOBAL_MANAGER
  7. APH-APR 証明書を置き換えるには、API 呼び出しを使用します。 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=APH
    次はその例です。 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=APH