API를 호출하여 관리자 노드 또는 관리자 클러스터 VIP(가상 IP)에 대한 일부 인증서를 바꿀 수 있습니다. 한 번에 하나의 인증서 교체 작업만 실행할 수 있습니다.

NSX-T Data Center를 설치하면 관리자 노드 및 클러스터에 자체 서명된 인증서가 생깁니다. 자체 서명된 인증서를 CA 서명 인증서로 대체하고 클러스터의 모든 노드 및 VIP와 일치하는 단일 공통 CA 서명 인증서를 SAN(주체 대체 이름) 목록과 함께 사용하는 것이 좋습니다. 시스템에서 구성된 기본 자체 서명 인증서에 대한 자세한 내용은 인증서 유형 항목을 참조하십시오.

NSX 페더레이션을 사용하는 경우 다음 API를 사용하여 글로벌 관리자 노드, 글로벌 관리자 클러스터, 로컬 관리자 노드 및 로컬 관리자 클러스터 인증서를 교체할 수 있습니다. 글로벌 관리자로컬 관리자 장치에 대해 자동으로 생성된 플랫폼 주체 ID 인증서를 교체할 수도 있습니다. NSX 페더레이션을 위해 자동으로 구성된 자체 서명된 인증서에 대한 자세한 내용은 NSX 페더레이션에 대한 인증서 항목을 참조하십시오.

사전 요구 사항

  • NSX Manager에서 인증서를 사용할 수 있는지 확인합니다. 자체 서명된 인증서 또는 CA 서명된 인증서 가져오기 항목을 참조하십시오.
  • 서버 인증서에는 기본 제약 조건 확장 basicConstraints = cA:FALSE가 포함되어야 합니다.
  • 다음 API 호출을 수행하여 인증서가 유효한지 확인합니다.
    GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>?action=validate
    참고: 자동화된 스크립트를 사용하여 여러 인증서를 동시에 교체하지 마십시오. 오류가 발생할 수 있습니다.

프로시저

  1. 브라우저에서 관리자 권한으로 NSX Manager(https://<nsx-manager-ip-address>)에 로그인합니다.
  2. 시스템 > 인증서를 선택합니다.
  3. ID 열에서 사용하려는 인증서의 ID를 클릭하고 팝업 창에서 인증서 ID를 복사합니다.
    이 인증서를 가져올 때 옵션 서비스 인증서아니요로 설정되었는지 확인합니다.
  4. 관리자 노드의 인증서를 바꾸려면 POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=API&node_id API 호출을 사용하십시오.
    예: POST https://172.10.221.11/api/v1/trust-management/certificates/f096cc4b-2120-4762-b25d-fbcd2439ae80?action=apply_certificate&service_type=API&node_id=2f040f42-64a4-68a8-2648-0f8266a8d2e7

    참고: 인증서 체인은 '인증서 - 중간 - 루트’의 업계 표준 순서여야 합니다.

    API에 대한 자세한 내용은 " NSX-T Data Center Command-Line Interface 참조" 항목을 참조하십시오.

  5. 관리자 클러스터 VIP의 인증서를 바꾸려면 POST /api/v1/cluster/api-certificate?action=set_cluster_certificate API 호출을 사용하십시오.
    예: POST https://<nsx-mgr>/api/v1/cluster/api-certificate?action=set_cluster_certificate&certificate_id=d60c6a07-6e59-4873-8edb-339bf75711ac

    참고: 인증서 체인은 '인증서 - 중간 - 루트’의 업계 표준 순서여야 합니다.

    API에 대한 자세한 내용은 " NSX-T Data Center API 가이드" 항목을 참조하십시오. 이 단계는 VIP를 구성하지 않은 경우에는 필요하지 않습니다.

  6. (선택 사항) NSX 페더레이션에 대한 로컬 관리자글로벌 관리자 주체 ID 인증서를 교체하려면 API 호출을 사용하십시오. 전체 NSX Manager 클러스터(로컬 관리자글로벌 관리자)에는 단일 PI 인증서가 필요합니다.
    POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
    예를 들면 LM의 경우:
    POST https://<nsx-local-mgr>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
    {
        "cert_id": "c5f13ec0-8075-441e-80b5-aeb707f6b87e",
        "service_type": "LOCAL_MANAGER"
    }
    GM의 경우:
    POST https://<nsx-global-manager>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
    {
        "cert_id": "c6f13ec0-8075-441e-80b5-aeb707f6b87e",
        "service_type": "GLOBAL_MANAGER"
    }
  7. (선택 사항) 현재 NSX Manager 클러스터와 함께 배포된 NSX Intelligence 장치가 있는 경우 NSX Intelligence 장치에 있는 NSX Manager 노드 IP, 인증서 및 지문 정보를 업데이트해야 합니다. 자세한 내용은 VMware 기술 자료 문서 https://kb.vmware.com/s/article/78505를 참조하십시오.
  8. APH-APR 인증서를 대체하려면 API 호출을 사용합니다.
    POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_appliance_proxy_certificate_for_inter_site_communication
    예:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_appliance_proxy_certificate_for_inter_site_communication
    {
     "cert_id": "77c5dc5c-6ba5-4e74-a801-c27dc09be76b",
     "used_by_id": "4e15955d-acd1-4g49-abae-0c6ea65bf438"
    }