您可以發出 API 呼叫,取代管理程式節點或管理程式叢集虛擬 IP (VIP) 的某些憑證。一次只能執行一項憑證取代作業。

安裝 NSX-T Data Center 之後,管理程式節點和叢集會具有自我簽署的憑證。建議您使用 CA 簽署的憑證取代自我簽署憑證,並使用單一通用的 CA 簽署憑證搭配符合所有節點和叢集 VIP 的 SAN (主體替代名稱) 清單。如需系統所設定預設自我簽署憑證的詳細資料,請參閱憑證類型

如果您使用 NSX 聯盟,則可以使用下列 API 取代全域管理程式節點、全域管理程式叢集、本機管理程式節點和本機管理程式叢集憑證。您也可以取代針對全域管理程式本機管理程式應用裝置自動建立的平台主體身分識別憑證。請參閱NSX 聯盟的憑證,以進一步瞭解為 NSX 聯盟自動設定的自我簽署憑證。

必要條件

  • 確認 NSX Manager 中可以使用憑證。請參閱匯入自我簽署的憑證或 CA 簽署的憑證
  • 伺服器憑證必須包含基本限制延伸 basicConstraints = cA:FALSE
  • 透過進行下列 API 呼叫,確認憑證有效:
    GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>?action=validate
    備註: 請勿使用自動指令碼來同時取代多份憑證。可能會發生錯誤。

程序

  1. 從瀏覽器以管理員權限登入 NSX Manager,網址為 https://<nsx-manager-ip-address>。
  2. 選取系統 > 憑證
  3. 在識別碼資料行中,按一下所要使用憑證的識別碼,然後複製快顯視窗中的憑證識別碼。
    請確保匯入此憑證時,選項 服務憑證 已設定為
  4. 若要取代管理程式節點的憑證,請使用 POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=API&node_id API 呼叫。
    例如: POST https://172.10.221.11/api/v1/trust-management/certificates/f096cc4b-2120-4762-b25d-fbcd2439ae80?action=apply_certificate&service_type=API&node_id=2f040f42-64a4-68a8-2648-0f8266a8d2e7

    附註:憑證鏈結必須採用「憑證 - 中繼 - 根」的業界標準順序。

    如需有關 API 的詳細資訊,請參閱《NSX-T Data Center Command-Line 介面參考》

  5. 若要取代管理程式叢集 VIP 的憑證,請使用 POST /api/v1/cluster/api-certificate?action=set_cluster_certificate API 呼叫。
    例如: POST https://<nsx-mgr>/api/v1/cluster/api-certificate?action=set_cluster_certificate&certificate_id=d60c6a07-6e59-4873-8edb-339bf75711ac

    附註:憑證鏈結必須採用「憑證 - 中繼 - 根」的業界標準順序。

    如需有關 API 的詳細資訊,請參閱《NSX-T Data Center API 指南》。如果您未設定 VIP,則不需要此步驟。

  6. (選擇性) 若要取代 NSX 聯盟本機管理程式全域管理程式主體身分識別憑證,請使用 API 呼叫。整個 NSX Manager 叢集 (本機管理程式全域管理程式) 需要一個 PI 憑證。
    POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
    例如,對於 LM:
    POST https://<nsx-local-mgr>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
    {
        "cert_id": "c5f13ec0-8075-441e-80b5-aeb707f6b87e",
        "service_type": "LOCAL_MANAGER"
    }
    對於 GM:
    POST https://<nsx-global-manager>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
    {
        "cert_id": "c6f13ec0-8075-441e-80b5-aeb707f6b87e",
        "service_type": "GLOBAL_MANAGER"
    }
  7. (選擇性) 如果您的 NSX Manager 叢集目前已部署 NSX Intelligence 應用裝置,則必須更新 NSX Intelligence 應用裝置上的 NSX Manager 節點 IP、憑證和指紋資訊。如需詳細資訊,請參閱 VMware 知識庫文章 https://kb.vmware.com/s/article/78505
  8. 若要取代 APH-APR 憑證,請使用 API 呼叫:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_appliance_proxy_certificate_for_inter_site_communication
    例如:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_appliance_proxy_certificate_for_inter_site_communication
    {
     "cert_id": "77c5dc5c-6ba5-4e74-a801-c27dc09be76b",
     "used_by_id": "4e15955d-acd1-4g49-abae-0c6ea65bf438"
    }