Prostředí VCF u sady VxRail: Výměna certifikátu místního správce NSX-T v prostředí VCF

Summary: Tento článek je příručkou k nahrazení certifikátu podepsaného svým držitelem místního správce NSX-T ve federačních prostředích spravovaných VCF. Zajistěte, aby váš systém zůstal bezpečný a kompatibilní. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Poznámka: Postupujte podle tohoto článku pouze pro federační prostředí NSX-T spravovaná VCF!


Pozadí:

Existují různé typy certifikátů NSX-T, jak je popsáno níže:
 
Název certifikátu Účel Nahraditelný Výchozí platnost
Kocour Jedná se o certifikát API, který se používá pro externí komunikaci s jednotlivými uzly NSX Manager prostřednictvím uživatelského rozhraní nebo API. Ano 825 dní
Mp-cluster Jedná se o certifikát API, který se používá pro externí komunikaci s clusterem NSX Manager pomocí virtuální IP adresy clusteru prostřednictvím uživatelského rozhraní nebo rozhraní API. Ano 825 dní
LocalManager (Místní správce) Toto je certifikát hlavní identity platformy pro federaci. Pokud nepoužíváte federaci, tento certifikát se nepoužívá. Ano 825 dní


Pro řešení VCF:

Tomcat a mp-cluster jsou nahrazeny certifikáty certifikační autority podepsanými nástrojem VMCA z nástroje vCenter. Certifikáty mp-cluster a tomcat mohou být stále k dispozici, ale nepoužívají se.


Nástroj NSX-T Manager s VCF:

  • Tomcat – uzel 1 > se nepoužívá
  • mp-cluster – VIP > se nepoužívá
Nahrazeno během instalace za následující:
  • CA – Uzel1
  • CA - VIP
Pokud chcete zkontrolovat, jestli se certifikát používá, spusťte na platformě Postman následující rozhraní API: 
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>

Certifikát místního správce je certifikát hlavní identity, který se používá ke komunikaci s jinými lokalitami ve federaci.

Prostředí federace NSX-T obsahuje aktivní a pohotovostní cluster globálního správce a jeden nebo více clusterů místního správce.
 
Zobrazuje tři umístění s aktivními a pohotovostními clustery globálního správce v umístěních 1 a 2 s clustery místního správce ve všech třech umístěních.
Obrázek 1: Zobrazuje tři umístění s aktivními a pohotovostními clustery globálního správce v umístěních 1 a 2 s clustery místního správce ve všech třech umístěních.


Jak zjistit počet clusterů místního správce:

Chcete-li zkontrolovat prostředí a zjistit, kolik clusterů Local Manager existuje, postupujte podle následujících kroků a snímku obrazovky:

Z> nástroje System Configuration>Location Manager:
  • V horní části místního správce se dozvíte, ke kterému clusteru jste přihlášeni. V tomto příkladu jsme přihlášeni do clusteru Local Manager.
  • Uprostřed stránky se zobrazí clustery globálního správce a který cluster je aktivní a který je v pohotovostním režimu.
  • Další clustery místního správce se zobrazují v dolní části v části Vzdálené lokality.
Prostředí clusteru místního správce
Obrázek 2: Prostředí clusteru místního správce


Postup nahrazení certifikátů podepsaných držitelem místního správce:

  1. Přihlaste se do nástroje NSX Manager v clusteru Local Manager.
  2. Než budete pokračovat, shromážděte zálohu NSX-T. Tento krok je důležitý!
    1. Systém>Správa> životního cyklu Zálohování a obnovení>Spustit zálohování
Shromažďování záloh NSX-T
Obrázek 3: Shromážděte zálohu NSX-T.
  1. Zkontrolujte certifikáty a datum vypršení platnosti.
    1. Klikněte na Nastavení>systému>Certifikáty
Následující příklad ukazuje červeně datum vypršení platnosti certifikátů místního správce:
Datum konce platnosti certifikátů místního správce
Obrázek 4: Datum konce platnosti certifikátů místního správce

Pro každý cluster Local Manager existuje jeden certifikát bez ohledu na počet správců NSX, kteří jsou v clusteru.
  1. Přihlaste se do libovolného nástroje NSX Manager v clusteru Local Manager 1.
  2. Vytvořte nový požadavek CSR.
    1. Klikněte na Nastavení>systému>Certifikáty>CSR>Generovat CSR
Vygenerovat nový požadavek CSR
Obrázek 5: Vytvořte nový požadavek CSR.
  1. Zadejte běžný název jako local-manager.
  2. Zadejte název jako LocalManager.
  3. Zbytek jsou údaje o firmě a pracovišti uživatele. (Ty lze zkopírovat ze starého certifikátu, kterému končí platnost.)
  4. Klikněte na tlačítko Uložit.
Zadejte názvy CSR a informace o lokalitě.
Obrázek 6: Zadejte názvy CSR a informace o lokalitě.
  1. Vytvořte certifikát podepsaný držitelem pomocí vygenerovaného požadavku CSR.
    1. Zaškrtněte políčko >New CSRGenerate CSR>Self-Sign Certificate for CSR.
Vytvoření certifikátu podepsaného držitelem
Obrázek 7: Vytvořte certifikát podepsaný svým držitelem.
  1. Ujistěte se, že je servisní certifikát nastaven na Ne , a klikněte na tlačítko Uložit.
  2. Vraťte se na kartu Certifikáty , vyhledejte Nový certifikát a zkopírujte ID certifikátu.
Zkopírovat nové ID certifikátu
Obrázek 8: Zkopírovat nové ID certifikátu
  1. Nahraďte hlavní certifikát identity pro místního správce.
    1. Uživatel k instalaci platformy Postman.
    2. Na kartě Autorizace vyberte Typ>základního ověřování.
    3. Zadejte přihlašovací údaje k nástroji NSX-T Manager.
Zadejte přihlašovací údaje k nástroji NSX-T Manager.
Obrázek 9: Zadejte přihlašovací údaje správce NSX-T.
  1. Na kartě Záhlavízměňte "application/xml" na "application/json".
V nástroji Postman změňte
Obrázek 10: V nástroji Postman změňte "application/xml" na "application/json".
  1. Na kartě Text vyberte ikonu POST API .
    1. Vyberte Raw a pak vyberte JSON.
    2. Do pole vedle položky POST zadejte adresu URL. https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
    3. Ve výše uvedeném případě je adresa URL IP adresa používaná pro libovolného správce NSX v rámci konkrétního clusteru místního správce.
    4. V části textu zadejte níže na dvou řádcích, jak je vidět na snímku obrazovky:
{ "cert_id": "<certificate id, copied from step 3>",
"service_type": "LOCAL_MANAGER" }
Zadejte adresu URL libovolného správce NSX v rámci konkrétního clusteru místního správce.
Obrázek 11: Zadejte adresu URL libovolného správce NSX v rámci konkrétního clusteru místního správce.
  1. Klikněte na tlačítko Odeslat a ujistěte se, že se zobrazí výsledek 200 OK.
  1. Opakujte kroky 1 až 4 u každého clusteru 2 a 3 místního správce.
Po dokončení těchto kroků jste vytvořili jeden nový certifikát na každém clusteru Local Manager a nahradili jste hlavní certifikát identity v každém clusteru Local Manager.

Nyní je čas odstranit staré certifikáty s končící platností z každého ze tří clusterů místního správce.
  1. Zkontrolujte, zda se certifikát již nepoužívá.
    1. Zkopírovat ID certifikátu
    2. Otevřít nástroj Postman
    3. Vyberte možnost GET API namísto POST.
    4. Zadejte adresu URL https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id>
    5. Vyhledejte výraz "used_by" a zkontrolujte, zda jsou u něj prázdné závorky.
    "used_by" : [ ],
    "resource_type" : "certificate_self_signed",
    "id" : "9cd133ca-32fc-48a2-898b-7acd928512a5",
    "display_name" : "local-manager",
    "description" : "",
    "tags" : [ ],
    "_create_user" : "admin",
    "_create_time" : 1677468138846,
    "_last_modified_user" : "admin",
    "_last_modified_time" : 1677468138846,
    "_system_owned" : false,
    "_protection" : "NOT_PROTECTED",
    "_revision" : 0
  }
  1. Přejděte do části Nastavení >systému >Certifikáty a vyberte požadovaný certifikát.
Vyberte požadovaný certifikát
Obrázek 12: Vyberte požadovaný certifikát.
  1. Klikněte na Odstranit>, Odstranit.
Odstranit certifikát
Obrázek 13: Odstranit certifikát.
  1. Ověřte, že identita objektu zabezpečení funguje a používá nové certifikáty:
    1. Otevřít nástroj Postman
    2. Vyberte možnost GET.
    3. Spustit adresu URL https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie.
    4. Výstup by měl být podobný jako níže. "certificate_id" by mělo ukazovat ID nově vytvořeného certifikátu.
ID certifikátu zobrazuje nové ID certifikátu.
Obrázek 14: V poli ID certifikátu se zobrazuje nové ID certifikátu.

Additional Information

Výměna certifikátů globálního správce:

Při výměně certifikátu globálního správce postupujte stejným způsobem, ale změňte "LOCAL_MANAGER" na "GLOBAL_MANAGER" a proveďte postup z clusteru Global Manager.


Další související články:

Další informace naleznete v těchto souvisejících článcích Broadcom VMware:

Affected Products

VMWare Cloud on Dell EMC VxRail E560F, VMWare Cloud on Dell EMC VxRail E560N, VxRail Appliance Family, VxRail Appliance Series, VxRail D Series Nodes, VxRail D560, VxRail D560F, VxRail E Series Nodes, VxRail E460, VxRail E560

Products

VxRail G410, VxRail G Series Nodes, VxRail E560 VCF, VxRail E560F, VxRail E560F VCF, VxRail E560N, VxRail E560N VCF, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560, VxRail G560 VCF, VxRail G560F , VxRail G560F VCF, VxRail Gen2 Hardware, VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570 VCF, VxRail P570F, VxRail P570F VCF, VxRail P580N, VxRail P580N VCF, VxRail P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S570 VCF, VxRail S670, VxRail Software, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570 VCF, VxRail V570F, VxRail V570F VCF, VXRAIL V670F, VxRail VD-4000R, VxRail VD-4000W, VxRail VD-4000Z, VxRail VD-4510C, VxRail VD-4520C, VxRail VD Series Nodes ...
Article Properties
Article Number: 000210329
Article Type: How To
Last Modified: 20 Aug 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.