NSX のインストール後、マネージャ ノードとクラスタに自己署名証明書が作成されます。自己署名証明書を CA 署名証明書に置き換えて、クラスタのノードと仮想 IP アドレスのすべてに一致する SAN (Subject Alternative Names) を含む単一の共通 CA 署名証明書を使用します。一度に実行できる証明書の置き換え操作は 1 つだけです。

NSX フェデレーション を使用している場合は、次の API を使用して、GM API 証明書、GM クラスタ証明書、LM API 証明書、LM クラスタ証明書を置き換えることができます。

GM または LM 証明書を置き換えると、サイト マネージャはこれらを他のすべてのフェデレーション サイトに送信します。通信はそのまま維持されます。

暗号スイート TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 を使用したり、次の間の通信に置き換えることが可能になりました。
  • クラスタ内の NSX ノード。
  • NSX フェデレーション 内。
  • NSX Manager から NSX Edge
  • NSX Manager から NSX エージェント。
  • NSX Manager REST API 通信(外部)。

グローバル マネージャ および ローカル マネージャ のアプライアンスに自動的に作成されたプラットフォーム プリンシパル ID 証明書を置き換えることもできます。NSX フェデレーション用の自己署名証明書の自動構成の詳細については、NSX フェデレーション の証明書を参照してください。

注: Cloud Service Manager では、 NSX 環境の HTTP 証明書を置き換えることはできません。

前提条件

  • NSX Manager で証明書が使用可能であることを確認します。スタンバイ グローバル マネージャ では、ユーザー インターフェイスのインポート操作は無効になります。スタンバイ グローバル マネージャ のインポート REST API コマンドの詳細については、「自己署名証明書または CA 署名付き証明書のインポート」を参照してください。
  • サーバ証明書には、基本的な制約拡張機能 basicConstraints = cA:FALSE が含まれている必要があります。
  • 次の API 呼び出しを行い、証明書が有効であることを確認します。

    GET https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=validate

    注: 自動スクリプトを使用して複数の証明書を同時に置き換えないでください。エラーが発生する可能性があります。

手順

  1. 管理者権限で NSX Manager にログインします。
  2. [システム] > [証明書] の順に選択します。
  3. [ID] 列で、使用する証明書の ID を選択し、ポップアップ ウィンドウから証明書 ID をコピーします。
    この証明書のインポート時に [サービス証明書 ] オプションが [いいえ] に設定されていたことを確認します。

    注:証明書チェーンは、業界標準である「証明書 - 中間 - ルート」の順序にする必要があります。

  4. マネージャ ノードの証明書を置き換えるには、API 呼び出しを使用します。
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=API&node_id=<node-id>
    次はその例です。
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=API&node_id=e61c7537-3090-4149-b2b6-19915c20504f

    API の詳細については、『NSX API ガイド』を参照してください。

  5. マネージャ クラスタ VIP の証明書を置き換えるには、API 呼び出しを使用します。
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=MGMT_CLUSTER
    次はその例です。
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/d60c6a07-6e59-4873-8edb-339bf75711?action=apply_certificate&service_type=MGMT_CLUSTER

    注:証明書チェーンは、業界標準である「証明書 - 中間 - ルート」の順序にする必要があります。

    API の詳細については、『NSX API ガイド』を参照してください。VIP を構成していない場合、この手順を行う必要はありません。

  6. (オプション) NSX フェデレーションローカル マネージャ および グローバル マネージャ プリンシパル ID 証明書を置き換えるには、次の API 呼び出しを使用します。NSX Manager クラスタ全体(ローカル マネージャグローバル マネージャ)には、1 つの PI 証明書が必要です。
    注: この手順を使用して、 NSX フェデレーション に関連しないプリンシパル ID 証明書を置き換えないでください。プリンシパル ID 証明書を置き換える手順については、「 ロールの割り当てまたはプリンシパル ID の追加」を参照してください。
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=<service-type>
    次はその例です。
    POST https://<local-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=LOCAL_MANAGER
    または
    POST https://<global-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=GLOBAL_MANAGER
  7. APH-APR 証明書を置き換えるには、API 呼び出しを使用します。
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=APH
    次はその例です。
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be79b?action=apply_certificate&service_type=APH