VCF på VxRail: Udskift NSX-T Local-Manager-certifikat i VCF-miljø
Summary: Denne artikel er en vejledning i udskiftning af NSX-T Local-Manager-selvsigneret certifikat i VCF-administrerede sammenslutningsmiljøer. Sørg for, at dit system forbliver sikkert og kompatibelt. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Bemærk: Følg kun denne artikel for VCF-administrerede NSX-T-føderationsmiljøer!
Baggrund:
Der findes forskellige typer NSX-T-certifikater som beskrevet nedenfor:
| Certifikatnavn | Formål | Udskiftelige | Standardgyldighed |
| Tomcat | Dette er et API-certifikat, der bruges til ekstern kommunikation med individuelle NSX Manager-noder via brugergrænseflade eller API. | Ja | 825 DAGE |
| MP-klynge | Dette er et API-certifikat, der bruges til ekstern kommunikation med NSX Manager-klyngen ved hjælp af klyngens VIP, via brugergrænseflade eller API. | Ja | 825 DAGE |
| Lokalmanager | Dette er en platform Principal Identity certifikat for føderationen. Hvis du ikke bruger Federation, bruges dette certifikat ikke. | Ja | 825 DAGE |
For VCF-løsninger:
Tomcat og mp-klyngen erstattes med CA-certifikater, der er signeret af VMCA fra vCenter. Mp-cluster- og Tomcat-certifikaterne er muligvis stadig der, men de bruges ikke.
NSX-T Manager med VCF:
- Tomcat - Node1 > bruges ikke
- mp-cluster - VIP > bliver ikke brugt
- CA – Node1
- CA – VIP
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>
Local-manager certifikat er det primære identitetscertifikat, der bruges til at kommunikere med andre steder i føderationen.
Et NSX-T Federation-miljø indeholder en aktiv og en standby Global Manager-klynge og en eller flere Local Manager-klynger.
Figur 1: Viser tre placeringer med aktive og standby Global Manager-klynger på lokation 1 og 2 med Local Manager-klynger på alle tre lokationer.
Sådan konstateres antallet af Local Manager-klynger:
Hvis du vil kontrollere miljøet og finde ud af, hvor mange Local Manager-klynger der er, skal du følge nedenstående trin og skærmbillede:
Fra System>Configuration>Location Manager:
- Øverst i Local Manager kan du se, hvilken klynge du er logget på. I dette eksempel er vi logget på en Local Manager-klynge.
- Midt på siden vises Global Manager-klyngerne, og hvilken klynge der er aktiv, og hvilken der er standby.
- Andre Local Manager-klynger kan ses nederst under Fjernwebsteder.
Figur 2: Local Manager-klyngemiljø
Procedure for udskiftning af selvsignerede certifikater for lokal administrator:
- Log på NSX Manager i Local Manager-klyngen.
- Indsaml en NSX-T-sikkerhedskopi, før du fortsætter. Dette trin er vigtigt!
- System>Livscyklusadministration>Sikkerhedskopiering og gendannelse>Start sikkerhedskopiering
Figur 3: Indsaml NSX-T-sikkerhedskopi.
- Kontroller certifikaterne og udløbsdatoen.
- Klik på Systemindstillingscertifikater>>
Eksemplet nedenfor viser udløbsdatoen for lokalledercertifikater med rødt:
Figur 4: Udløbsdato for lokalledercertifikater
Der er ét certifikat pr. Local Manager-klynge, uanset antallet af NSX-managere i klyngen.
- Log på en NSX Manager på Local Manager-klynge 1.
- Generer en ny CSR.
- Klik på Systemindstillinger>>Certifikater>CSR'er Generer>CSR
Figur 5: Generer en ny CSR.
- Indtast Common Name som local-manager.
- Indtast navnet som LocalManager.
- Resten er bruger-, forretnings- og placeringsoplysninger (Dette kan kopieres fra et gammelt certifikat, der er ved at udløbe.)
- Klik på Gem.
Figur 6: Indtast CSR-navne og lokalitetsoplysninger.
- Opret et selvsigneret certifikat ved hjælp af den genererede CSR.
- Markér afkrydsningsfeltet >Ny CSRGenerer CSR-selvsigneringscertifikat > til CSR.
Figur 7: Opret et selvsigneret certifikat.
- Sørg for, at servicecertifikatet er indstillet til Nej , og klik på Gem.
- Gå tilbage til fanen Certifikater , find det nye certifikat , og kopier certifikat-id'et.
Figur 8: Kopiér nyt certifikat-id
- Udskift den lokale leders primære identitetscertifikat.
- Bruger til at installere Postman-platformen.
- Under fanen Autorisation skal du vælge Type>Grundlæggende godkendelse.
- Indtast loginoplysninger til NSX-T Manager.
Figur 9: Indtast loginoplysninger for NSX-T Manager.
- Under fanen Overskrifterskal du ændre "application/xml" til "application/json".
Figur 10: I Postman skal du ændre "application / xml" til "application / json"
- På fanen Brødtekst skal du vælge ikonet
POST APIkommando.- Vælg Raw, og vælg derefter JSON.
- I feltet ud for POST skal du indtaste URL
https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation - I ovenstående er URL'en den IP, der bruges til enhver NSX-manager inden for en bestemt Local Manager Cluster.
- I brødteksten skal du indtaste nedenstående i to linjer som vist på skærmbilledet:
{ "cert_id": "<certificate id, copied from step 3>",
"service_type": "LOCAL_MANAGER" }
Figur 11: Indtast URL-adresse for enhver NSX-manager i en bestemt Local Manager-klynge.
- Klik på Send, og sørg for, at du ser resultatet 200 OK.
- Gentag trin 1 til 4 på hver lokallederklynge 2 og 3.
Det er nu tid til at slette de gamle certifikater, der udløber, fra hver af de tre Local Manager-klynger.
- Kontroller, at certifikatet ikke længere er i brug.
- Kopier certifikat-id
- Åbent postbud
- Vælg HENT API i stedet for POST.
-
Indtast URL-adresse
https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id> - Se efter "used_by", og bekræft, at den har tomme parenteser.
"used_by" : [ ],
"resource_type" : "certificate_self_signed",
"id" : "9cd133ca-32fc-48a2-898b-7acd928512a5",
"display_name" : "local-manager",
"description" : "",
"tags" : [ ],
"_create_user" : "admin",
"_create_time" : 1677468138846,
"_last_modified_user" : "admin",
"_last_modified_time" : 1677468138846,
"_system_owned" : false,
"_protection" : "NOT_PROTECTED",
"_revision" : 0
}
- Gå til Certifikater for systemindstillinger >>, og vælg det ønskede certifikat.
Figur 12: Vælg det ønskede certifikat.
- Klik på Slet>slet.
Figur 13: Slet certifikat.
- Bekræft, at hovedidentiteten fungerer, og brug af de nye certifikater:
- Åbent postbud
- Vælg GET.
- Kør URL
https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie. - Outputtet skal svare til nedenstående, "certificate_id" skal vise det nyoprettede certifikat-id.
Figur 14: Certifikat-id viser det nye certifikat-id.
Additional Information
Udskiftning af Global-manager-certifikater:
Hvis du vil erstatte Global Manager-certifikatet, skal du følge den samme proces, men ændre "LOCAL_MANAGER" til "GLOBAL_MANAGER" og udføre proceduren fra Global Manager-klyngen.
Andre relaterede artikler:
Se disse relaterede Broadcom VMware-artikler for at få flere oplysninger:
Affected Products
VMWare Cloud on Dell EMC VxRail E560F, VMWare Cloud on Dell EMC VxRail E560N, VxRail Appliance Family, VxRail Appliance Series, VxRail D Series Nodes, VxRail D560, VxRail D560F, VxRail E Series Nodes, VxRail E460, VxRail E560Products
VxRail G410, VxRail G Series Nodes, VxRail E560 VCF, VxRail E560F, VxRail E560F VCF, VxRail E560N, VxRail E560N VCF, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560, VxRail G560 VCF, VxRail G560F
, VxRail G560F VCF, VxRail Gen2 Hardware, VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570 VCF, VxRail P570F, VxRail P570F VCF, VxRail P580N, VxRail P580N VCF, VxRail P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S570 VCF, VxRail S670, VxRail Software, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570 VCF, VxRail V570F, VxRail V570F VCF, VXRAIL V670F, VxRail VD-4000R, VxRail VD-4000W, VxRail VD-4000Z, VxRail VD-4510C, VxRail VD-4520C, VxRail VD Series Nodes
...
Article Properties
Article Number: 000210329
Article Type: How To
Last Modified: 20 Aug 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.