安裝 NSX 之後,管理程式節點和叢集會具有自我簽署憑證。請將自我簽署憑證取代為 CA 簽署憑證,並使用一個包含 SAN (主體替代名稱) 的通用 CA 簽署憑證,可符合所有節點的 FQDN 和 IP 以及叢集的 VIP。一次只能執行一項憑證取代作業。

若您使用 NSX 聯盟,則可使用以下 API 取代 GM API 憑證、GM 叢集憑證、LM API 憑證和 LM 叢集憑證。

NSX 聯盟 4.1 開始,您可以取代用於 GM-LM 通訊的自我簽署憑證。此外,全域管理程式憑證也會在本機管理程式註冊時產生本機管理程式憑證。本機管理程式憑證不再是預設憑證。

當取代全域管理程式本機管理程式憑證時,站台管理程式會將這些憑證傳送到其他所有聯合站台,因此通訊保持不變。

現在可以使用或取代加密套件 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,在以下兩者之間進行通訊:
  • 叢集中的 NSX 節點。
  • NSX 聯盟 內。
  • NSX ManagerNSX Edge
  • NSX ManagerNSX 代理程式。
  • NSX Manager REST API 通訊 (外部)。

您也可以取代針對全域管理程式本機管理程式應用裝置自動建立的平台主體身分識別憑證。請參閱NSX 和 NSX 聯盟的憑證,以進一步瞭解為 NSX 聯盟自動設定的自我簽署憑證。

備註: 對於 Cloud Service Manager,無法取代 NSX 環境中的 HTTP 憑證。

必要條件

  • 確認 NSX Manager 中可以使用憑證。請注意,在待命全域管理程式上,會停用 UI 匯入作業。如需適用於待命全域管理程式的匯入 REST API 命令的詳細資料,請參閱匯入自我簽署的憑證或 CA 簽署的憑證
  • 伺服器憑證必須包含基本限制延伸 basicConstraints = CA:FALSE
  • 透過進行下列 API 呼叫,確認憑證有效:

    GET https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=validate

  • 如果需要,請提供您的節點識別碼字串。如需有關使用 UI 或 CLI 搜尋此資訊的説明,請參閱尋找憑證 API 呼叫的節點識別碼
備註: 請勿使用自動指令碼來同時取代多份憑證。可能會發生錯誤。

程序

  1. 使用 admin 權限來登入 NSX Manager
  2. 選取系統 > 憑證
  3. 在識別碼資料行中,選取所要使用憑證的識別碼,然後複製快顯視窗中的憑證識別碼。
    請確保匯入此憑證時,選項 服務憑證 已設定為

    附註:憑證鏈結必須採用「憑證 - 中繼 - 根」的業界標準順序。

  4. 若要取代管理程式節點的 API 憑證,請使用以下 API 呼叫。若要尋找您的 Unified Appliance 節點識別碼,請參閱尋找憑證 API 呼叫的節點識別碼
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=API&node_id=<node-id>
    例如:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=API&node_id=e61c7537-3090-4149-b2b6-19915c20504f
    備註: 如果取代管理程式節點的 CBM_MP 憑證,則在憑證作業完成後,該節點上的 NSX 管理服務將重新啟動,以便可以開始使用該新憑證。在此重新啟動期間,在管理程式節點服務備份並執行之前,將無法存取 UI 和 API。如果 VIP 位於此管理程式節點上,它將移至另一個管理程式節點。在取代其他管理程式節點上的 CBM_MP 憑證之前,請透過執行 get cluster status 並檢查管理程式群組成員叢集狀態,確保管理服務已啟動並正在執行。
  5. 若要取代管理程式叢集 VIP 的憑證,請使用 API 呼叫:
    POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=MGMT_CLUSTER
    例如:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/d60c6a07-6e59-4873-8edb-339bf75711?action=apply_certificate&service_type=MGMT_CLUSTER

    如需有關 API 的詳細資訊,請參閱《NSX API 指南》。如果您未設定 VIP,則不需要此步驟。

  6. (選擇性) 若要取代 NSX 聯盟本機管理程式全域管理程式主體身分識別憑證,請使用下列 API 呼叫。整個 NSX Manager 叢集 (本機管理程式全域管理程式) 需要一個 PI 憑證。
    備註: 請勿使用此程序來取代到期的憑證。若要取代到期的憑證,請參閱 新增角色指派或主體身分識別,以取得相關指示。如果您難以將憑證匯入至待命全域管理程式,請參閱 匯入自我簽署的憑證或 CA 簽署的憑證,以瞭解 REST API 命令。
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=<service-type>
    例如:
    POST https://<local-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=LOCAL_MANAGER
    POST https://<global-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=GLOBAL_MANAGER
  7. 若要取代 APH-AR 憑證,請使用以下 API 呼叫。若要尋找您的 Unified Appliance 節點識別碼,請參閱尋找憑證 API 呼叫的節點識別碼
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=APH&node_id=<node-id>
    例如:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=APH&node_id=93350f42-16b4-cb4e-99e0-fce2d17635a3
  8. NSX 4.1 開始,若要取代傳輸節點 (TN) 或 Edge 主機憑證,請使用以下 API 呼叫。您必須在 NSX Manager 外部產生私密金鑰。如果在 NSX Manager 中產生 CSR,則無法擷取 API 呼叫中所需的私密金鑰。如果是 CA 簽署的憑證,請以下列順序納入整個鏈結:憑證 - 中繼 - 根。整個憑證必須在單一行中提供。還需將任何行尾字元取代為 \n。在 pem_encoded 和私密金鑰值中需要執行此動作。若要將換行字元取代為 \n,您可以在 UNIX 型系統上使用以下命令:awk '{gsub(/\\n/,"\n")}1' certificate.pem
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/action/replace-host-certificate/<transport-node-id>
    {
          "display_name": "cert_name",
          "pem_encoded": "---BEGIN CERTIFICATE---\n<certificate>\n---END CERTIFICATE-----\n",   
          "private_key": "---BEGIN RSA PRIVATE KEY---\n<private rsa key>\n---END RSA PRIVATE KEY---\n"
        }
    例如:
    POST https://<nsx-mgr>/api/v1/trust-management/certificates/aaction/replace-host-certificate/8e84d532-2cd8-46d8-90c7-04862980f69c
    {
        "display_name": "cert_sample",
        "pem_encoded": "-----BEGIN CERTIFICATE-----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\niKbzpCGe0P0=\n-----END CERTIFICATE-----\n-----BEGIN CERTIFICATE-----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\n9bcn\n-----END CERTIFICATE-----\n",
        "private_key": "-----BEGIN RSA PRIVATE KEY-----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\nhBQ1pzzmwGnO6AyxTxgoY5CosK2Ga1KjsWUXqay2QwIln+E+xxsm\n-----END RSA PRIVATE KEY-----\n"
    }
    對於 node_id,請使用傳輸節點的識別碼,而不是 Unified Appliance (UA) 識別碼。若要尋找您的節點識別碼,請參閱 尋找憑證 API 呼叫的節點識別碼

    如需系統所設定的預設自我簽署憑證或 VMware Cloud Foundation 憑證的需求詳細資料,請參閱憑證類型