安裝 NSX 之後,管理程式節點和叢集會具有自我簽署的憑證。請將自我簽署憑證更換為 CA 簽署憑證,並使用一個包含 SAN (主體替代名稱) 的通用 CA 簽署憑證,可符合叢集的所有節點和 VIP。一次只能執行一項憑證更換作業。

若您使用 NSX 聯盟,則可使用以下 API 更換 GM API 憑證、GM 叢集憑證、LM API 憑證和 LM 叢集憑證。

更換 GM 或 LM 的憑證時,站台管理程式會將這些憑證傳送到其他所有已同盟站台,因此通訊保持不變。

現在可以使用或更換加密套件 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,在以下兩者之間進行通訊:
  • 叢集中的 NSX 節點。
  • NSX 聯盟 內。
  • NSX ManagerNSX Edge
  • NSX ManagerNSX 代理程式。
  • NSX Manager REST API 通訊 (外部)。

您也可以更換針對全域管理程式本機管理程式應用裝置自動建立的平台主體身分識別憑證。請參閱NSX 聯盟的憑證,以進一步瞭解為 NSX 聯盟自動設定的自我簽署憑證。

備註: 對於 Cloud Service Manager,無法更換 NSX 環境中的 HTTP 憑證。

必要條件

  • 確認 NSX Manager 中可以使用憑證。請注意,在待命全域管理程式上,會停用 UI 匯入作業。如需適用於待命全域管理程式的匯入 REST API 命令的詳細資料,請參閱匯入自我簽署的憑證或 CA 簽署的憑證
  • 伺服器憑證必須包含基本限制延伸 basicConstraints = cA:FALSE
  • 透過進行下列 API 呼叫,確認憑證有效:

    GET https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=validate

    備註: 請勿使用自動指令碼來同時更換多份憑證。可能會發生錯誤。

程序

  1. 使用 admin 權限來登入 NSX Manager
  2. 選取系統 > 憑證
  3. 在識別碼資料行中,選取所要使用憑證的識別碼,然後複製快顯視窗中的憑證識別碼。
    請確保匯入此憑證時,選項 服務憑證 已設定為

    附註:憑證鏈結必須採用「憑證 - 中繼 - 根」的業界標準順序。

  4. 若要更換管理程式節點的憑證,請使用 API 呼叫: 
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=API&node_id=<node-id>
    例如:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=API&node_id=e61c7537-3090-4149-b2b6-19915c20504f

    如需有關 API 的詳細資訊,請參閱《NSX API 指南》

  5. 若要更換管理程式叢集 VIP 的憑證,請使用 API 呼叫: 
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=MGMT_CLUSTER
    例如:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/d60c6a07-6e59-4873-8edb-339bf75711?action=apply_certificate&service_type=MGMT_CLUSTER

    附註:憑證鏈結必須採用「憑證 - 中繼 - 根」的業界標準順序。

    如需有關 API 的詳細資訊,請參閱《NSX API 指南》。如果您未設定 VIP,則不需要此步驟。

  6. (選擇性) 若要更換 NSX 聯盟本機管理程式全域管理程式主體身分識別憑證,請使用下列 API 呼叫。整個 NSX Manager 叢集 (本機管理程式全域管理程式) 需要一個 PI 憑證。
    備註: 請勿使用此程序更換與 NSX 聯盟無關的主體身分識別憑證。若要更換主體身分識別憑證,請參閱 新增角色指派或主體身分識別,以取得相關指示。 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=<service-type>
    例如: 
    POST https://<local-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=LOCAL_MANAGER
    POST https://<global-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=GLOBAL_MANAGER
  7. 若要更換 APH-APR 憑證,請使用 API 呼叫: 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=APH
    例如: 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be79b?action=apply_certificate&service_type=APH