VCF на VxRail: Замена сертификата NSX-T Local-Manager в среде VCF

Summary: В данной статье приведены инструкции по замене самозаверяющего сертификата NSX-T Local-Manager в управляемых средах федерации VCF. Обеспечьте безопасность и соответствие системы нормативным требованиям. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Примечание. Следуйте указаниям в этой статье только для сред федерации NSX-T, управляемых VCF!


Предпосылка.

Существуют различные типы сертификатов NSX-T, описанные ниже.
 
Имя сертификата Назначение Заменимый Срок действия по умолчанию
Кот Это сертификат API, используемый для внешнего взаимодействия с отдельными узлами NSX Manager через пользовательский интерфейс или API. Да 825 дней
mp-кластер Это сертификат API, используемый для внешнего взаимодействия с кластером NSX Manager с помощью VIP-адреса кластера через пользовательский интерфейс или API. Да 825 дней
Локальный диспетчер Это сертификат основного удостоверения платформы для федерации. Если федерация не используется, этот сертификат не используется. Да 825 дней


Для решений VCF:

Tomcat и mp-cluster заменяются сертификатами CA, подписанными VMCA из vCenter. Сертификаты mp-cluster и Tomcat могут по-прежнему присутствовать, но не используются.


NSX-T Manager с VCF.

  • Tomcat — узел 1 > не используется
  • mp-cluster — VIP-адрес > не используется
Заменено во время установки на следующие компоненты:
  • CA — узел 1
  • CA - VIP
Если вы хотите проверить, используется ли сертификат, запустите следующий API на платформе Postman: 
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>

Сертификат локального диспетчера — это основной сертификат удостоверения, используемый для связи с другими площадками в федерации.

Среда федерации NSX-T содержит активный и резервный кластеры глобального диспетчера и один или несколько кластеров локального диспетчера.
 
Показаны три расположения с активными и резервными кластерами глобального диспетчера в расположениях 1 и 2 с кластерами локального диспетчера во всех трех расположениях.
Рис. 1. Показаны три расположения с активными и резервными кластерами глобального диспетчера в расположениях 1 и 2 с кластерами локального диспетчера во всех трех расположениях.


Как определить количество кластеров локального диспетчера:

Чтобы проверить среду и узнать, сколько существует кластеров Local Manager, выполните следующие действия и сделайте снимок экрана:

В>System Configuration>Location Manager:
  • В верхней части окна Local Manager отображается кластер, в который выполнен вход. В данном примере мы вошли в кластер локального диспетчера.
  • В середине страницы отображаются кластеры глобального диспетчера, а также кластер активный, а какой резервный.
  • Другие кластеры локального диспетчера отображаются внизу в разделе Удаленные площадки.
Локальный диспетчер Кластерная среда
Рис. 2. Локальный диспетчер Кластерная среда


Процедура замены самозаверяющих сертификатов локального диспетчера:

  1. Войдите в NSX Manager в кластере локального диспетчера.
  2. Прежде чем продолжить, создайте резервную копию NSX-T. Этот шаг очень важен!
    1. Система>Управление жизненным циклом>Резервное копирование и восстановление>Начать резервное копирование
Соберите резервную копию NSX-T
Рис. 3. Соберите резервную копию NSX-T.
  1. Проверьте сертификаты и срок их действия.
    1. Нажмите System>Settings>Certificates
В приведенном ниже примере красной цветом показана дата истечения срока действия сертификатов локального диспетчера:
Дата истечения срока действия сертификатов локального менеджера
Рис. 4. Дата истечения срока действия сертификатов локального менеджера

Для каждого кластера Local Manager имеется один сертификат, независимо от количества диспетчеров NSX в кластере.
  1. Войдите в любой NSX Manager в кластере Local Manager 1.
  2. Создайте новый CSR.
    1. Нажмите Настройки системы>Сертификаты>>>CSR Создать CSR
Создать новый CSR
Рис. 5. Создайте новый CSR.
  1. Введите Common Name в качестве local-manager.
  2. Введите имя в виде LocalManager.
  3. Остальная информация — это сведения о бизнесе и местоположении пользователя (их можно скопировать из старого сертификата с истекающим сроком действия).
  4. Нажмите Save.
Введите имена CSR и информацию о населенном пункте
Рис. 6. Введите имена CSR и информацию о населенном пункте.
  1. Создайте самозаверяющий сертификат с помощью созданного запроса подписи сертификата.
    1. Установите флажок >Создать CSR Создать самозаверяющий сертификатCSR> для CSR.
Создание самозаверяющего сертификата
Рис. 7. Создайте самозаверяющий сертификат.
  1. Убедитесь, что для параметра Сертификат сервиса установлено значение Нет , и нажмите Сохранить.
  2. Вернитесь на вкладку Сертификаты , найдите Новый сертификат и скопируйте идентификатор сертификата.
Копировать новый идентификатор сертификата
Рис. 8. Копировать новый идентификатор сертификата
  1. Замените сертификат удостоверения основного субъекта для локального управляющего.
    1. Пользователь для установки платформы Postman.
    2. На вкладке Авторизация выберите Введите>базовую проверку подлинности.
    3. Введите данные для входа в NSX-T Manager.
Введите данные для входа в NSX-T Manager
Рис. 9. Введите данные для входа в NSX-T Manager.
  1. На вкладке «Headers» измените «application/xml» на «application/json».
В Postman Измените
Рис. 10. В Postman измените «application/xml» на «application/json»
  1. На вкладке Текст выберите POST API .
    1. Выберите Raw, а затем выберите JSON.
    2. В поле рядом с POST введите URL-адрес https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
    3. В приведенном выше примере URL-адрес — это IP-адрес, используемый для любого диспетчера NSX в конкретном кластере Local Manager.
    4. В разделе body введите следующую информацию в две строки, как показано на снимке экрана:
{ "cert_id": "<certificate id, copied from step 3>",
"service_type": "LOCAL_MANAGER" }
Введите URL-адрес для любого диспетчера NSX в определенном кластере локального диспетчера
Рис. 11. Введите URL-адрес для любого диспетчера NSX в определенном кластере локального диспетчера.
  1. Нажмите «Отправить» и убедитесь, что отображается результат 200 OK.
  1. Повторите шаги с 1 по 4 для каждого кластера локального диспетчера 2 и 3.
После выполнения этих действий вы создадите один новый сертификат в каждом кластере локального диспетчера и замените основной сертификат удостоверения в каждом кластере локального диспетчера.

Пришло время удалить старые сертификаты с истекающим сроком действия из каждого из трех кластеров локального диспетчера.
  1. Убедитесь, что сертификат больше не используется.
    1. Копировать идентификатор сертификата
    2. Открыть Postman
    3. Выберите GET API вместо POST.
    4. Введите URL-адрес https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id>
    5. Найдите «used_by» и убедитесь, что в нем есть пустые скобки.
    "used_by" : [ ],
    "resource_type" : "certificate_self_signed",
    "id" : "9cd133ca-32fc-48a2-898b-7acd928512a5",
    "display_name" : "local-manager",
    "description" : "",
    "tags" : [ ],
    "_create_user" : "admin",
    "_create_time" : 1677468138846,
    "_last_modified_user" : "admin",
    "_last_modified_time" : 1677468138846,
    "_system_owned" : false,
    "_protection" : "NOT_PROTECTED",
    "_revision" : 0
  }
  1. Перейдите в раздел System >Settings >Certificates и выберите необходимый сертификат.
Выберите необходимый сертификат
Рис. 12. Выберите требуемый сертификат.
  1. Нажмите УдалитьУдалить>.
Удаление сертификата
Рис. 13. Удаление сертификата.
  1. Убедитесь, что Principal Identity работает и использует новые сертификаты:
    1. Открыть Postman
    2. Выберите GET.
    3. URL-адрес запуска https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie.
    4. Выходные данные должны быть такими же, как показано ниже. «certificate_id» должен отображать только что созданный идентификатор сертификата.
Идентификатор сертификата — идентификатор нового сертификата
Рис. 14. Идентификатор сертификата — идентификатор нового сертификата.

Additional Information

Замена сертификатов Global-manager:

Чтобы заменить сертификат глобального управляющего, выполните тот же процесс, но измените «LOCAL_MANAGER» на «GLOBAL_MANAGER» и выполните процедуру из кластера Global Manager.


Другие статьи по теме:

Дополнительные сведения см. в следующих статьях о Broadcom VMware:

Affected Products

VMWare Cloud on Dell EMC VxRail E560F, VMWare Cloud on Dell EMC VxRail E560N, VxRail Appliance Family, VxRail Appliance Series, VxRail D Series Nodes, VxRail D560, VxRail D560F, VxRail E Series Nodes, VxRail E460, VxRail E560

Products

VxRail G410, VxRail G Series Nodes, VxRail E560 VCF, VxRail E560F, VxRail E560F VCF, VxRail E560N, VxRail E560N VCF, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560, VxRail G560 VCF, VxRail G560F , VxRail G560F VCF, VxRail Gen2 Hardware, VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570 VCF, VxRail P570F, VxRail P570F VCF, VxRail P580N, VxRail P580N VCF, VxRail P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S570 VCF, VxRail S670, VxRail Software, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570 VCF, VxRail V570F, VxRail V570F VCF, VXRAIL V670F, VxRail VD-4000R, VxRail VD-4000W, VxRail VD-4000Z, VxRail VD-4510C, VxRail VD-4520C, VxRail VD Series Nodes ...
Article Properties
Article Number: 000210329
Article Type: How To
Last Modified: 20 Aug 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.