VxRail üzerinde VCF: VCF Ortamında NSX-T Yerel Yönetici Sertifikasını Değiştirme

Summary: Bu makale, VCF tarafından yönetilen federasyon ortamlarında NSX-T Yerel Yönetici kendinden imzalı sertifikasını değiştirmeye yönelik bir rehberdir. Sisteminizin güvenli ve uyumlu kalmasını sağlayın. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Not: Bu makaleyi yalnızca VCF tarafından yönetilen NSX-T federasyon ortamları için izleyin!


Arkaplan:

Aşağıda açıklandığı gibi farklı NSX-T sertifikası türleri vardır:
 
Sertifika Adı Amaç Değiştirilebilir Varsayılan Geçerlilik
Tomcat Bu, kullanıcı arayüzü veya API aracılığıyla ayrı NSX Manager düğümleriyle harici iletişim için kullanılan bir API sertifikasıdır. Evet 825 günler
mp-küme Bu, kullanıcı arabirimi veya API aracılığıyla küme VIP'sini kullanarak NSX Manager kümesiyle dış iletişim için kullanılan bir API sertifikasıdır. Evet 825 günler
Yerel Yönetici Bu, Federasyon için bir platform Asıl Kimlik sertifikasıdır. Federasyon kullanmıyorsanız, bu sertifika kullanılmaz. Evet 825 günler


VCF çözümleri için:

Tomcat ve mp-cluster, vCenter'dan VMCA tarafından imzalanan CA sertifikalarıyla değiştirilir. mp-cluster ve Tomcat sertifikaları hâlâ mevcut olabilir ancak kullanılmıyordur.


VCF ile NSX-T Manager:

  • Tomcat - Düğüm1 > kullanılmıyor
  • mp-cluster - VIP > kullanılmıyor
Kurulum sırasında aşağıdakiyle değiştirilir:
  • CA - Düğüm1
  • CA - VIP
Sertifikanın kullanılıp kullanılmadığını denetlemek istiyorsanız Postman platformunda aşağıdaki API'yi çalıştırın: 
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>

Yerel yönetici sertifikası, Federasyondaki diğer sitelerle iletişim kurmak için kullanılan Asıl Kimlik sertifikasıdır.

NSX-T Federasyon ortamı, bir aktif ve bir beklemedeki Genel Yönetici kümesi ile bir veya daha fazla Yerel Yönetici kümesi içerir.
 
Konum 1 ve 2'de etkin ve beklemedeki Genel Müdür kümeleri ile üç konumun tamamında Yerel Yönetici kümeleri gösterir.
Şekil 1: Konum 1 ve 2'de etkin ve beklemedeki Genel Müdür kümeleri ile üç konumun tamamında Yerel Yönetici kümeleri gösterir.


Local Manager Cluster'larının sayısını belirleme:

Ortamı kontrol etmek ve kaç tane Yerel Yönetici Kümesi olduğunu öğrenmek için aşağıdaki adımları ve ekran görüntüsünü izleyin:

Sistem>Yapılandırması>Konum Yöneticisinden:
  • Yerel Yöneticinin üst kısmında, hangi kümede oturum açtığınız gösterilir. Bu örnekte, bir Local Manager kümesinde oturum açtık.
  • Sayfanın ortasında, Genel Yönetici Kümeleri ve hangi kümenin Etkin, hangilerinin Beklemede olduğu gösterilir.
  • Diğer Yerel Yönetici Kümeleri, Uzak Siteler'in altında alt kısımda görülür.
Yerel yönetici küme ortamı
Şekil 2: Yerel yönetici küme ortamı


Yerel yönetici kendinden imzalı sertifikaları değiştirme prosedürü:

  1. Yerel yönetici kümesinde NSX yöneticisinde oturum açın.
  2. Devam etmeden önce bir NSX-T yedeği alın. Bu adım önemlidir!
    1. Sistem>Yaşam Döngüsü Yönetimi>Yedekleme ve Geri Yükleme>Yedeklemeyi Başlat
NSX-T Yedeklemesi Alma
Şekil 3: NSX-T yedeklemesini toplayın.
  1. Sertifikaları ve son kullanma tarihini kontrol edin.
    1. Sistem>Ayarları>Sertifikalar a tıklayın
Aşağıdaki örnekte yerel yönetici sertifikalarının sona erme tarihi kırmızı renkle gösterilmiştir:
Yerel yönetici sertifikalarının sona erme tarihi
Şekil 4: Yerel yönetici sertifikalarının sona erme tarihi

Kümede bulunan NSX Yöneticisi sayısından bağımsız olarak Yerel Yönetici kümesi başına bir sertifika vardır.
  1. Yerel Yönetici kümesi 1'deki herhangi bir NSX Yöneticisinde oturum açın.
  2. Yeni bir CSR oluşturun.
    1. Sistem>Ayarları>Sertifikalar>CSR'ler CSR Oluştur'a> tıklayın
Yeni CSR Oluştur
Şekil 5: Yeni bir CSR oluşturun.
  1. Common Name değerini local-manager olarak girin.
  2. Adı LocalManager olarak girin.
  3. Gerisi kullanıcının işletme ve konum bilgileridir (Bu, süresi dolan eski bir sertifikadan kopyalanabilir.)
  4. Save (Kaydet) öğesine tıklayın.
CSR Adlarını ve Konum Bilgilerini Girin
Şekil 6: CSR Adlarını ve Konum Bilgilerini girin.
  1. Oluşturulan CSR'yi kullanarak Kendinden İmzalı Sertifika oluşturun.
    1. CSR için CSR>Kendinden İmzalı Sertifika Oluştur Yeni CSR onay kutusunu > işaretleyin.
Otomatik imzalı sertifika oluşturma
Şekil 7: Kendinden imzalı bir sertifika oluşturun.
  1. Hizmet Sertifikasının Hayır olarak ayarlandığından emin olun ve Kaydet'e tıklayın.
  2. Certificates sekmesine dönün, Yeni Sertifikayı bulun ve Sertifika Kimliğini Kopyalayın.
Yeni Sertifika Kimliğini Kopyala
Şekil 8: Yeni Sertifika Kimliğini Kopyala
  1. Yerel Müdürün Asıl Kimlik sertifikasını değiştirin.
    1. Postman platformunu yüklemek için kullanıcı.
    2. Yetkilendirme sekmesinde Temel Kimlik DoğrulamaYazın'ı> seçin.
    3. NSX-T Yöneticisi oturum açma ayrıntılarını girin.
NSX-T Yöneticisi Oturum Açma Ayrıntılarını Girin
Şekil 9: NSX-T Yöneticisi Oturum Açma Ayrıntılarını girin.
  1. Headers sekmesinde "application/xml" ifadesini "application/json" olarak değiştirin.
Postman'de
Şekil 10: Postman'de "application/xml" değerini "application/json" olarak değiştirin
  1. Gövde sekmesinde, POST API yapılandırmalısınız.
    1. Ham ve ardından JSON öğesini seçin.
    2. POST seçeneğinin yanındaki kutuya URL yi girin https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
    3. Yukarıdaki URL, belirli bir Yerel Yönetici Kümesi içindeki herhangi bir NSX yöneticisi için kullanılan IP'dir.
    4. Gövde bölümünde, ekran görüntüsünde görüldüğü gibi aşağıdakileri iki satırda girin:
{ "cert_id": "<certificate id, copied from step 3>",
"service_type": "LOCAL_MANAGER" }
Belirli bir yerel yönetici kümesinde yer alan herhangi bir NSX yöneticisinin URL'sini girin
Şekil 11: Belirli bir yerel yönetici kümesindeki herhangi bir NSX yöneticisinin URL'sini girin.
  1. Gönder'e tıklayın ve sonucu 200 Tamam olarak gördüğünüzden emin olun.
  1. Her bir Yerel Yönetici Kümesi 2 ve 3'te 1. ila 4. Adımları tekrarlayın.
Bu adımlar tamamlandıktan sonra, her Yerel Yönetici Kümesinde bir yeni sertifika oluşturdunuz ve her Yerel Yönetici Kümesinde Asıl Kimlik Sertifikasını değiştirdiniz.

Şimdi, süresi dolmak üzere olan eski sertifikaları üç Yerel Yönetici Kümesinin her birinden silme zamanı gelmiştir.
  1. Sertifikanın artık kullanımda olup olmadığını kontrol edin.
    1. Sertifika Kimliğini Kopyala
    2. Postacıyı
    3. POST yerine GET API'yi seçin.
    4. URL girin https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id>
    5. used_by" ifadesini bulun ve içinde boş parantez olduğunu doğrulayın.
    "used_by" : [ ],
    "resource_type" : "certificate_self_signed",
    "id" : "9cd133ca-32fc-48a2-898b-7acd928512a5",
    "display_name" : "local-manager",
    "description" : "",
    "tags" : [ ],
    "_create_user" : "admin",
    "_create_time" : 1677468138846,
    "_last_modified_user" : "admin",
    "_last_modified_time" : 1677468138846,
    "_system_owned" : false,
    "_protection" : "NOT_PROTECTED",
    "_revision" : 0
  }
  1. Sistem >Ayarları >Sertifikalar bölümüne gidin ve gerekli sertifikayı seçin.
Gerekli sertifikayı seçin
Şekil 12: Gerekli sertifikayı seçin.
  1. Delete>Delete ögesine tıklayın.
Sertifikayı Silme
Şekil 13: Sertifikayı Silme.
  1. Ana Kimliğin çalıştığını ve yeni sertifikaları kullandığını doğrulayın:
    1. Postacıyı
    2. GET'i seçin.
    3. URL'yi çalıştır https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie.
    4. Çıktı aşağıdakine benzer olmalıdır. "certificate_id" yeni oluşturulan sertifika kimliğini göstermelidir.
Sertifika Kimliği, yeni sertifika kimliğini gösterir
Şekil 14: Sertifika Kimliği, yeni sertifika kimliğini gösterir.

Additional Information

Genel yönetici sertifikalarını değiştirme:

Genel Müdür Sertifikasını değiştirmek için aynı işlemi izleyin ancak "LOCAL_MANAGER" öğesini "GLOBAL_MANAGER" olarak değiştirin ve prosedürü Genel Yönetici Kümesinden gerçekleştirin.


İlgili diğer makaleler:

Daha fazla bilgi için ilgili Broadcom VMware makalelerine bakın:

Affected Products

VMWare Cloud on Dell EMC VxRail E560F, VMWare Cloud on Dell EMC VxRail E560N, VxRail Appliance Family, VxRail Appliance Series, VxRail D Series Nodes, VxRail D560, VxRail D560F, VxRail E Series Nodes, VxRail E460, VxRail E560

Products

VxRail G410, VxRail G Series Nodes, VxRail E560 VCF, VxRail E560F, VxRail E560F VCF, VxRail E560N, VxRail E560N VCF, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560, VxRail G560 VCF, VxRail G560F , VxRail G560F VCF, VxRail Gen2 Hardware, VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570 VCF, VxRail P570F, VxRail P570F VCF, VxRail P580N, VxRail P580N VCF, VxRail P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S570 VCF, VxRail S670, VxRail Software, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570 VCF, VxRail V570F, VxRail V570F VCF, VXRAIL V670F, VxRail VD-4000R, VxRail VD-4000W, VxRail VD-4000Z, VxRail VD-4510C, VxRail VD-4520C, VxRail VD Series Nodes ...
Article Properties
Article Number: 000210329
Article Type: How To
Last Modified: 20 Aug 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.