NSX のインストール後、マネージャ ノードとクラスタに自己署名証明書が作成されます。クラスタのすべてのノードと VIP の FQDN と IP アドレスに一致する SAN (Subject Alternative Name) を使用して、API と MGMT_CLUSTER(別名 VIP)の自己署名付き証明書を CA 署名付き証明書に置き換えることもできます。一度に実行できる証明書の置き換え操作は 1 つだけです。

NSX フェデレーション を使用している場合は、GM API 証明書、GM MGMT_CLUSTER(別名 VIP)証明書、LM API 証明書、LM MGMT_CLUSTER(別名 VIP)証明書を置き換えることができます。

NSX フェデレーション 4.1 以降では、GM-LM 通信に使用される自己署名付き証明書を置き換えることができます。

GLOBAL_MANAGER または LOCAL_MANAGER 証明書を置き換えると、サイト マネージャはこれらを他のすべてのフェデレーション サイトに送信します。通信はそのまま維持されます。

暗号スイート TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 を使用したり、次の間の通信に置き換えることが可能になりました。
  • NSX クラスタ内のノード。
  • NSX フェデレーション 内。
  • NSX Manager から NSX Edge
  • NSX Manager から NSX エージェント。
  • NSX Manager REST API 通信(外部)。

GLOBAL_MANAGER 証明書と LOCAL_MANAGER 証明書を置き換えることもできます。NSX フェデレーション用の自己署名証明書の自動構成の詳細については、NSX と NSX フェデレーション の証明書を参照してください。

NSX 4.2 以降では、各マネージャと VIP の API サービスは同じ証明書を共有します。次のバッチ置換 API を実行して、共有証明書を一括置換することもできます。 
POST https://{{ip}}/api/v1/trust-management/certificates/action/batch-replace
{
    "certificate_replacements": [
        {
         "old_certificate_id": "fe3d2623-df43-4757-8018-b1d8223a1475"
         "new_certificate_id": "66370296-cacf-45a7-9912-6e2718df87bb"
        }
    ]
}

必要に応じて、次の手順に記載されている証明書の適用 API を実行して、各 API サービスと VIP サービスを独自の一意の証明書に置き換えることもできます。

マネージャ クラスタの形成後は、バッチの置き換えと適用の両方の証明書 API を実行する必要があります。これは、NSX 4.2 以降では、参加しているマネージャの API 証明書が、参加先のクラスタの MGMT_CLUSTER(別名 VIP)証明書に置き換えられるためです。

前提条件

  • NSX Manager で証明書が使用可能であることを確認します。スタンバイ グローバル マネージャでは、ユーザー インターフェイスのインポート操作は無効になります。スタンバイ グローバル マネージャ のインポート REST API コマンドの詳細については、「自己署名証明書または CA 署名付き証明書のインポート」を参照してください。
  • サーバ証明書には、基本的な制約拡張機能 basicConstraints = CA:FALSE が含まれている必要があります。
  • 次の API 呼び出しを行い、証明書が有効であることを確認します。

    GET https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=validate

  • 必要に応じて、ノード ID 文字列を使用できるようにします。この情報をユーザー インターフェイスまたは CLI で見つける方法については、「証明書 API 呼び出しのノード ID の検索」を参照してください。
注: 自動スクリプトを使用して複数の証明書を同時に置き換えないでください。エラーが発生する可能性があります。

手順

  1. 管理者権限で NSX Manager にログインします。
  2. [システム] > [証明書] の順に選択します。
  3. [ID] 列で、使用する証明書の ID を選択し、ポップアップ ウィンドウから証明書 ID をコピーします。
    この証明書のインポート時に [サービス証明書 ] オプションが [いいえ] に設定されていたことを確認します。

    注:証明書チェーンは、業界標準である「証明書 - 中間 - ルート」の順序にする必要があります。

  4. マネージャ ノードの API 証明書を置き換えるには、次の API 呼び出しを使用します。Unified Appliance ノード ID を確認するには、「証明書 API 呼び出しのノード ID の検索」を参照してください。 
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=API&node_id=<node-id>
    次はその例です。
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=API&node_id=e61c7537-3090-4149-b2b6-19915c20504f
  5. マネージャ クラスタ VIP の証明書を置き換えるには、API 呼び出しを使用します。 
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=MGMT_CLUSTER
    次はその例です。
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/d60c6a07-6e59-4873-8edb-339bf75711?action=apply_certificate&service_type=MGMT_CLUSTER

    グローバル マネージャ のロケーション マネージャ内から各ロケーションの ローカル マネージャ のサムプリント値が更新されていることを確認します。更新されていないと、GM と LM 間の通信が中断されます。サムプリントが更新されていない場合、NSX Edge クラスタの選択や グローバル マネージャ ユーザー インターフェイスからの Tier-0 BGP サマリの要求などのタスクは機能しません。API の詳細については、『NSX API ガイド』を参照してください。仮想 IP アドレスを構成していない場合、この手順を行う必要はありません。

  6. (オプション) NSX フェデレーション の LOCAL_MANAGER および GLOBAL_MANAGER 証明書を置き換えるには、次の API 呼び出しを使用します。NSX Manager クラスタ全体(ローカル マネージャ および グローバル マネージャ)には、1 つの LOCAL_MANAGER 証明書と 1 つの GLOBAL_MANAGER 証明書が必要です。 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=<service-type>
    次はその例です。 
    POST https://<local-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=LOCAL_MANAGER
    または 
    POST https://<global-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=GLOBAL_MANAGER
  7. APH (別名 APH-AR)証明書を置き換えるには、次の API 呼び出しを使用します。Unified Appliance ノード ID を確認するには、「証明書 API 呼び出しのノード ID の検索」を参照してください。 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=APH&node_id=<node-id>
    次はその例です。 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=APH&node_id=93350f42-16b4-cb4e-99e0-fce2d17635a3
  8. NSX 4.1 以降では、トランスポート ノード (TN) または Edge ホスト証明書(TN 証明書)を置き換えるには、次の API 呼び出しを使用します。プライベート キーは、NSX Managerの外部で生成する必要があります。NSX Manager で CSR を生成すると、API 呼び出しで必要なプライベート キーを取得することができません。CA 署名付き証明書の場合は、チェーン全体を次の順序で含めます。 certificate - intermediate - root 。証明書全体を 1 行で指定する必要があります。また、行末文字を \n に置き換えます。これは、pem_encoded とプライベート キーの値で必要です。改行文字を \n に置き換えるには、UNIX ベースのシステムで awk '{gsub(/\\n/,"\n")}1' certificate.pem コマンドを使用します。 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/action/replace-host-certificate/<transport-node-id>
{
      "display_name": "cert_name",
      "pem_encoded": "---BEGIN CERTIFICATE---\n<certificate>\n---END CERTIFICATE-----\n",   
      "private_key": "---BEGIN RSA PRIVATE KEY---\n<private rsa key>\n---END RSA PRIVATE KEY---\n"
    }
    次はその例です。 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/aaction/replace-host-certificate/8e84d532-2cd8-46d8-90c7-04862980f69c
{
    "display_name": "cert_sample",
    "pem_encoded": "-----BEGIN CERTIFICATE-----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\niKbzpCGe0P0=\n-----END CERTIFICATE-----\n-----BEGIN CERTIFICATE-----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\n9bcn\n-----END CERTIFICATE-----\n",
    "private_key": "-----BEGIN RSA PRIVATE KEY-----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\nhBQ1pzzmwGnO6AyxTxgoY5CosK2Ga1KjsWUXqay2QwIln+E+xxsm\n-----END RSA PRIVATE KEY-----\n"
}
    Unified Appliance (UA) ID ではなく、node_id にトランスポート ノードの ID を使用します。ノード ID を確認するには、「 証明書 API 呼び出しのノード ID の検索」を参照してください。

    システムによって構成されたデフォルトの自己署名証明書の詳細、または VMware Cloud Foundation 証明書の要件については、証明書のタイプを参照してください。