安裝 NSX 之後,管理程式節點和叢集會具有自我簽署憑證。請將自我簽署憑證更換為 CA 簽署憑證,並使用一個包含 SAN (主體替代名稱) 的通用 CA 簽署憑證,可符合所有節點的 FQDN 和 IP 以及叢集的 VIP。一次只能執行一項憑證更換作業。

若您使用 NSX 聯盟,則可使用以下 API 更換 GM API 憑證、GM 叢集憑證、LM API 憑證和 LM 叢集憑證。

NSX 聯盟 4.1 開始,您可以更換用於 GM-LM 通訊的自我簽署憑證。此外,全域管理程式憑證也會在本機管理程式註冊時產生本機管理程式憑證。本機管理程式憑證不再是預設憑證。

更換全域管理程式本機管理程式憑證時,站台管理程式會將這些憑證傳送到其他所有已同盟站台,因此通訊保持不變。

現在可以使用或更換加密套件 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,在以下兩者之間進行通訊:
  • 叢集中的 NSX 節點。
  • NSX 聯盟 內。
  • NSX ManagerNSX Edge
  • NSX ManagerNSX 代理程式。
  • NSX Manager REST API 通訊 (外部)。

您也可以更換針對全域管理程式本機管理程式應用裝置自動建立的平台主體身分識別憑證。請參閱NSX 和 NSX 聯盟的憑證,以進一步瞭解為 NSX 聯盟自動設定的自我簽署憑證。

備註: 對於 Cloud Service Manager,無法更換 NSX 環境中的 HTTP 憑證。

必要條件

  • 確認 NSX Manager 中可以使用憑證。請注意,在待命全域管理程式上,會停用 UI 匯入作業。如需適用於待命全域管理程式的匯入 REST API 命令的詳細資料,請參閱匯入自我簽署的憑證或 CA 簽署的憑證
  • 伺服器憑證必須包含基本限制延伸 basicConstraints = CA:FALSE
  • 透過進行下列 API 呼叫,確認憑證有效:

    GET https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=validate

  • 如果需要,請提供您的節點識別碼字串。如需有關使用 UI 或 CLI 搜尋此資訊的説明,請參閱尋找憑證 API 呼叫的節點識別碼
備註: 請勿使用自動指令碼來同時更換多份憑證。可能會發生錯誤。

程序

  1. 使用 admin 權限來登入 NSX Manager
  2. 選取系統 > 憑證
  3. 在識別碼資料行中,選取所要使用憑證的識別碼,然後複製快顯視窗中的憑證識別碼。
    請確保匯入此憑證時,選項 服務憑證 已設定為

    附註:憑證鏈結必須採用「憑證 - 中繼 - 根」的業界標準順序。

  4. 若要更換管理程式節點的 API 憑證,請使用以下 API 呼叫。若要尋找您的 Unified Appliance 節點識別碼,請參閱尋找憑證 API 呼叫的節點識別碼 
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=API&node_id=<node-id>
    例如:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=API&node_id=e61c7537-3090-4149-b2b6-19915c20504f
    備註: 如果更換管理程式節點的 CBM_MP 憑證,則在憑證作業完成後,該節點上的 NSX 管理服務將重新啟動,以便可以開始使用該新憑證。在此重新啟動期間,在管理程式節點服務備份並執行之前,將無法存取 UI 和 API。如果 VIP 位於此管理程式節點上,它將移至另一個管理程式節點。在更換其他管理程式節點上的 CBM_MP 憑證之前,請透過執行 get cluster status 並檢查管理程式群組成員叢集狀態,確保管理服務已啟動並正在執行。
  5. 若要更換管理程式叢集 VIP 的憑證,請使用 API 呼叫: 
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=MGMT_CLUSTER
    例如:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/d60c6a07-6e59-4873-8edb-339bf75711?action=apply_certificate&service_type=MGMT_CLUSTER

    確保在本機管理程式的位置管理程式中更新每個位置的全域管理程式的指紋值。否則,GM 和 ROM 之間的通訊將會中斷。如果未更新指紋,則從全域管理程式 UI 中選取 NSX Edge 叢集或要求第 0 層 BGP 摘要等工作將無法執行。如需有關 API 的詳細資訊,請參閱《NSX API 指南》。如果您未設定 VIP,則不需要此步驟。

  6. (選擇性) 若要更換 NSX 聯盟本機管理程式全域管理程式主體身分識別憑證,請使用下列 API 呼叫。整個 NSX Manager 叢集 (本機管理程式全域管理程式) 需要一個 PI 憑證。
    備註:

    請勿使用此程序更換與 NSX 聯盟無關的主體身分識別憑證。若要更換主體身分識別憑證,請參閱〈新增角色指派〉或〈主體身分識別〉,以取得相關指示。 

    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=<service-type>
    例如: 
    POST https://<local-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=LOCAL_MANAGER
    POST https://<global-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=GLOBAL_MANAGER
  7. 若要更換 APH-AR 憑證,請使用以下 API 呼叫。若要尋找您的 Unified Appliance 節點識別碼,請參閱尋找憑證 API 呼叫的節點識別碼 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=APH&node_id=<node-id>
    例如: 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=APH&node_id=93350f42-16b4-cb4e-99e0-fce2d17635a3
  8. NSX 4.1 開始,若要更換傳輸節點 (TN) 或 Edge 主機憑證,請使用以下 API 呼叫。您必須在 NSX Manager 外部產生私密金鑰。如果在 NSX Manager 中產生 CSR,則無法擷取 API 呼叫中所需的私密金鑰。如果是 CA 簽署的憑證,請以下列順序納入整個鏈結:憑證 - 中繼 - 根。整個憑證必須在單一行中提供。還需將任何行尾字元取代為 \n。在 pem_encoded 和私密金鑰值中需要執行此動作。若要將換行字元取代為 \n,您可以在 UNIX 型系統上使用以下命令:awk '{gsub(/\\n/,"\n")}1' certificate.pem 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/action/replace-host-certificate/<transport-node-id>
{
      "display_name": "cert_name",
      "pem_encoded": "---BEGIN CERTIFICATE---\n<certificate>\n---END CERTIFICATE-----\n",   
      "private_key": "---BEGIN RSA PRIVATE KEY---\n<private rsa key>\n---END RSA PRIVATE KEY---\n"
    }
    例如: 
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/aaction/replace-host-certificate/8e84d532-2cd8-46d8-90c7-04862980f69c
{
    "display_name": "cert_sample",
    "pem_encoded": "-----BEGIN CERTIFICATE-----\nMIIC1DCCAbygAwIBAgIUMd1fGNGnvYKtilon2UMBP4rqRAowDQYJKoZIhvcNAQEL\nBQAwDzENMAsGA1UEAwwETVlDQTAeFw0yMzA5MjYxODMxMzVaFw0zMzA5MjMxODMx\nMzVaMBYxFDASBgNVBAMMC2NlcnRfc2FtcGxlMIIBIjANBgkqhkiG9w0BAQEFAAOC\nAQ8AMIIBCgKCAQEAzMDsp1EGFPjus/xnHmacPJYVP0N8iQMb3W8TFFQC5jxdjNzi\ncMIb1YgpI+s3LJoyYCdZKeMcCWDwtgQXMTy9FYJCHKyt86CF0br9U9q9iC+NX93X\n+/wrWtXY89ESt0NOgj22sKI49EQT9bd0dNWupxapCb98Dyztk0cetIHa7ia1q7un\nXMZ7dofwuWUEUlT8qpyXF84N6bhWQSrXRyeQ+oZrsq3sAyfnKzbfcs0T3sztWn9M\nR7h8iPkjpJjVV5z1ghAgIDKFXG8RVU8fLgX5srtYV2Ij1II0qYwe/yGBfj7xsemB\n2lGGPotlbwUE5oPFISJvG9qLOoNKVLvBrxuNnQIDAQABoyEwHzAdBgNVHSUEFjAU\nBggrBgEFBQcDAQYIKwYBBQUHAwIwDQYJKoZIhvcNAQELBQADggEBAAqPfZWNzG/b\nBhtN2gDjr0LplfC0yi8K6Ep3exECE5UOUJvHubko4Z6eCZFT8XSrAa6eZQEVe3O3\nwFvpdedCiEpI/IaFhpRUQDubJMPao7t4Uohz3k3ONMGbIci8dVUcQRQlmxFmx3wf\n0/33fy3b1zIOXqooQF3qUlpjms/RQOdD80dSlMze8WI7yz9LZt9Zc+sr8ePRi4Xy\ntudO6EYTiWm3CC5BxDDjKpkFCACFRT4zr5HsomHsFeo4hGIHl2zN0+JoGrdrWcta\nxdl5aQYy79vIMgvz696EKUGePEpJjpyP/wlwzmIY3RvXRKThuVXvg20gi365x8+J\niKbzpCGe0P0=\n-----END CERTIFICATE-----\n-----BEGIN CERTIFICATE-----\nMIIC/zCCAeegAwIBAgIUUlHXcczsdMpei1ThgeQYpvgzaxMwDQYJKoZIhvcNAQEL\nBQAwDzENMAsGA1UEAwwETVlDQTAeFw0yMzA5MjYxODI2NDZaFw0zMzA5MjMxODI2\nNDZaMA8xDTALBgNVBAMMBE1ZQ0EwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEK\nAoIBAQDbr78t32TUl1qTcDGvVQhiUkktntPO/5/FRDSIjy9qyNGDrcICDAYzOe79\nceXpOzfUStacEeTXse89q1MJz4ykaU2g6EUN2E4sfoP4KznBlObLHnnlxD482DL4\nbuMA8qCe0soUsGE6uoeFHnSW3M+NRI3GtJe1MM134JQ/TSNZTv+d93nB4bS2nSK7\nA1fFDRSuj8Ey7a1im8JgykL9ahJ6yxrpk8juEJwII04nHfAG102/8/YKEZyPWcPX\nYvLZEt/lBVxRPplWfbNIo3zfA09fzb4RMaOSsyBbqTBseL/4fxlnkeu1Rii3ZwcQ\nL4Wr6mKR1YCievsuXdLK5pWUH+BtAgMBAAGjUzBRMB0GA1UdDgQWBBTnYafa1EXn\nNPIqTkIO82kdamjDgTAfBgNVHSMEGDAWgBTnYafa1EXnNPIqTkIO82kdamjDgTAP\nBgNVHRMBAf8EBTADAQH/MA0GCSqGSIb3DQEBCwUAA4IBAQC2Ef+CPICTdWEKW3e6\nwaObe4Y85CS2wfSBRFvt0yCAUF8yysr3kQx85wdhfDfvidQdrgQIkDKe83J61r5l\n238wFo9O10RpFWl1csY4hZ19geeTW3L8tABp+f1or1vsAogfVtcaZwmqz/LEaZ0r\n4JdONE9gq40RgX5R9GPD04k3hKr6HoNHHnBssmNHgo8pLKRv04mx0yQyn45lKvet\ngcInI9j8YLsXGHdeiZ/zXKUgKQdicBw79K/mQCpgkpaEi3K9mFUFCUU9CiWxiy62\nSN2/SEuOWlb7Kq8VwJUfUn3lKoY9sofr9zsSsh5lhQOKb1uguo8xUF8v6iLuDAjr\n9bcn\n-----END CERTIFICATE-----\n",
    "private_key": "-----BEGIN RSA PRIVATE KEY-----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\nhBQ1pzzmwGnO6AyxTxgoY5CosK2Ga1KjsWUXqay2QwIln+E+xxsm\n-----END RSA PRIVATE KEY-----\n"
}
    對於 node_id,請使用傳輸節點的識別碼,而不是 Unified Appliance (UA) 識別碼。若要尋找您的節點識別碼,請參閱 尋找憑證 API 呼叫的節點識別碼

    如需系統所設定的預設自我簽署憑證或 VMware Cloud Foundation 憑證的需求詳細資料,請參閱憑證類型

  9. 若要更換來自同盟 NSX 部署中其他位置的憑證,請尋找名稱以「站台」一詞開頭的憑證;例如,站台憑證 L=PA,ST=CA,C=US站台憑證 UID=369cd66c-...,或者僅使用其 UUID 637a2ebf-84d1-4548-a0ba-51d9420672ff。如果這些憑證即將到期,請記得在來源節點或叢集上執行更換。您可以在 UI 的使用位置資料行下或在 API 的使用者欄位中找到該資訊。如果更換任何原始全域管理程式本機管理程式上的憑證,系統會自動在整個同盟部署中同步這些憑證。
  10. 若要移除不再需要的未使用憑證,您可以使用 UI 或 API。如果「憑證」窗格的「使用位置」資料行中的資料顯示為零,則表示該憑證未被使用,您可以使用刪除按鈕將其移除。如果 API 命令輸出的使用者詳細資料中的資料顯示為零,則表示該憑證未被使用,您可以使用 [API 系統管理 > 設定 > 憑證 > 憑證刪除] 命令將其移除。