NSX를 설치하면 관리자 노드 및 클러스터에 자체 서명된 인증서가 생깁니다. 자체 서명된 인증서를 CA 서명 인증서로 대체하고 클러스터의 모든 노드 및 VIP와 일치하는 단일 공통 CA 서명 인증서를 SAN(주체 대체 이름)과 함께 사용합니다. 한 번에 하나의 인증서 교체 작업만 실행할 수 있습니다.

NSX 페더레이션을 사용하는 경우 다음 API를 사용하여 GM API 인증서, GM 클러스터 인증서, LM API 인증서 및 LM 클러스터 인증서를 대체할 수 있습니다.

GM 또는 LM 인증서를 교체할 때 사이트 관리자는 이러한 인증서를 다른 모든 페더레이션된 사이트로 전송하므로 통신은 그대로 유지됩니다.

이제 다음 사이의 통신에 대해 암호 그룹 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384를 사용하거나 교체할 수 있습니다.
  • 클러스터에 있는 NSX 노드
  • NSX 페더레이션 내에서
  • NSX Manager에서 NSX Edge
  • NSX에서 NSX Manager 에이전트로
  • NSX Manager REST API 통신(외부)

글로벌 관리자로컬 관리자 장치에 대해 자동으로 생성된 플랫폼 주체 ID 인증서를 교체할 수도 있습니다. NSX 페더레이션을 위해 자동으로 구성된 자체 서명된 인증서에 대한 자세한 내용은 NSX 페더레이션에 대한 인증서 항목을 참조하십시오.

참고: Cloud Service Manager의 경우 NSX 환경에서 HTTP 인증서를 바꿀 수 없습니다.

사전 요구 사항

  • NSX Manager에서 인증서를 사용할 수 있는지 확인합니다. 대기 글로벌 관리자에서 UI 가져오기 작업이 비활성화됩니다. 대기 글로벌 관리자에 대한 가져오기 REST API 명령에 대한 자세한 내용은 자체 서명된 인증서 또는 CA 서명된 인증서 가져오기 항목을 참조하십시오.
  • 서버 인증서에는 기본 제약 조건 확장 basicConstraints = cA:FALSE가 포함되어야 합니다.
  • 다음 API 호출을 수행하여 인증서가 유효한지 확인합니다.

    GET https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=validate

    참고: 자동화된 스크립트를 사용하여 여러 인증서를 동시에 교체하지 마십시오. 오류가 발생할 수 있습니다.

프로시저

  1. 관리자 권한으로 NSX Manager에 로그인합니다.
  2. 시스템 > 인증서를 선택합니다.
  3. ID 열에서 사용하려는 인증서의 ID를 선택하고 팝업 창에서 인증서 ID를 복사합니다.
    이 인증서를 가져올 때 옵션 서비스 인증서아니요로 설정되었는지 확인합니다.

    참고: 인증서 체인은 '인증서 - 중간 - 루트’의 업계 표준 순서여야 합니다.

  4. 관리자 노드의 인증서를 바꾸려면 API 호출을 사용하십시오.
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=API&node_id=<node-id>
    예:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=API&node_id=e61c7537-3090-4149-b2b6-19915c20504f

    API에 대한 자세한 내용은 "NSX API 가이드" 항목을 참조하십시오.

  5. 관리자 클러스터 VIP의 인증서를 바꾸려면 API 호출을 사용하십시오.
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=MGMT_CLUSTER
    예:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/d60c6a07-6e59-4873-8edb-339bf75711?action=apply_certificate&service_type=MGMT_CLUSTER

    참고: 인증서 체인은 '인증서 - 중간 - 루트’의 업계 표준 순서여야 합니다.

    API에 대한 자세한 내용은 "NSX API 가이드" 항목을 참조하십시오. 이 단계는 VIP를 구성하지 않은 경우에는 필요하지 않습니다.

  6. (선택 사항) NSX 페더레이션에 대한 로컬 관리자글로벌 관리자 주체 ID 인증서를 교체하려면 다음 API 호출을 사용하십시오. 전체 NSX Manager 클러스터(로컬 관리자글로벌 관리자)에는 단일 PI 인증서가 필요합니다.
    참고: 이 절차를 사용하여 NSX 페더레이션과 관련되지 않은 주체 ID 인증서를 교체하지 마십시오. 주체 ID 인증서를 교체하려면 역할 할당 또는 주체 ID 추가에서 지침을 참조하십시오.
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=<service-type>
    예:
    POST https://<local-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=LOCAL_MANAGER
    또는
    POST https://<global-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=GLOBAL_MANAGER
  7. APH-APR 인증서를 대체하려면 API 호출을 사용합니다.
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=APH
    예:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be79b?action=apply_certificate&service_type=APH