VCF auf VxRail: Ersetzen des NSX-T Local-Manager-Zertifikats in der VCF-Umgebung

Hintergrund:

Es gibt verschiedene Arten von NSX-T-Zertifikaten, wie unten beschrieben:
 

Zertifikatname	Zweck	Ersetzbar	Standardgültigkeit
Kater	Dies ist ein API-Zertifikat, das für die externe Kommunikation mit einzelnen NSX Manager-Nodes über die Benutzeroberfläche oder API verwendet wird.	Ja	825 Tage
MP-Cluster	Dies ist ein API-Zertifikat, das für die externe Kommunikation mit dem NSX Manager-Cluster mithilfe der Cluster-VIP über die Benutzeroberfläche oder API verwendet wird.	Ja	825 Tage
LocalManager	Dies ist ein Plattform-Prinzipalidentitätszertifikat für den Verbund. Wenn Sie keinen Verbund verwenden, wird dieses Zertifikat nicht verwendet.	Ja	825 Tage

Für VCF-Lösungen:

Tomcat und mp-cluster werden durch CA-Zertifikate ersetzt, die von VMCA über vCenter signiert wurden. Die mp-cluster- und Tomcat-Zertifikate sind möglicherweise noch vorhanden, werden jedoch nicht verwendet.

NSX-T Manager mit VCF:

• Tomcat – Node1 > wird nicht verwendet
• mp-cluster – VIP > wird nicht verwendet

Während der Installation ersetzt durch Folgendes:

• CA – Node1
• CA – VIP

Wenn Sie überprüfen möchten, ob das Zertifikat verwendet wird, führen Sie die folgende API auf der Postman-Plattform aus:

GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>

Das Zertifikat des lokalen Managers ist das Prinzipalidentitätszertifikat, das für die Kommunikation mit anderen Standorten im Verbund verwendet wird.

Eine NSX-T-Verbundumgebung enthält einen aktiven und einen Stand-by-Global Manager-Cluster sowie ein oder mehrere Local Manager-Cluster.
 

So ermitteln Sie die Anzahl der lokalen Managercluster:

Um die Umgebung zu überprüfen und herauszufinden, wie viele Local Manager-Cluster vorhanden sind, führen Sie die folgenden Schritte aus und machen Sie einen Screenshot:>>

• Oben im Local Manager wird angezeigt, bei welchem Cluster Sie angemeldet sind. In diesem Beispiel sind wir bei einem lokalen Managercluster angemeldet.
• In der Mitte der Seite werden die Global Manager-Cluster angezeigt und es wird angezeigt, welches Cluster aktiv und welches im Stand-by-Modus ist.
• Andere lokale Managercluster werden unten unter Remotestandorte angezeigt.

Verfahren zum Ersetzen selbstsignierter Zertifikate von lokalen Managern:

1. Melden Sie sich bei NSX Manager im lokalen Manager-Cluster an.
2. Erfassen Sie ein NSX-T-Backup, bevor Sie fortfahren. Dieser Schritt ist wichtig!
   1. System>Lebenszyklusmanagement>Backup und Wiederherstellung>Backup starten

3. Überprüfen Sie die Zertifikate und das Ablaufdatum.
   1. Klicken Sie auf Systemeinstellungen>>Zertifikate

Es gibt ein Zertifikat pro lokalem Manager-Cluster, unabhängig von der Anzahl der NSX Manager, die im Cluster vorhanden sind.

1. Melden Sie sich bei einem beliebigen NSX Manager auf einem lokalen Manager-Cluster 1 an.
2. Generieren Sie eine neue CSR.
   1. Klicken Sie auf Systemeinstellungen>>Zertifikate>CSRs>CSR generieren

2. Geben Sie unter Common Name local-manager den allgemeinen Namen ein.
3. Geben Sie den Namen als LocalManager ein.
4. Der Rest sind Geschäfts- und Standortdetails des Nutzers (diese können von einem alten ablaufenden Zertifikat kopiert werden.)
5. Klicken Sie auf Save.

3. Erstellen Sie ein selbstsigniertes Zertifikat mithilfe der generierten CSR.
   1. Klicken Sie auf das Kontrollkästchen >Neue CSR CSR>Selbstsignierungszertifikat für CSR erstellen.

2. Stellen Sie sicher, dass das Servicezertifikat auf Nein festgelegt ist, und klicken Sie auf Speichern.
3. Kehren Sie zur Registerkarte Certificates zurück, suchen Sie nach New Certificate und Copy Certificate ID.

4. Ersetzen Sie das Prinzipalidentitätszertifikat für den lokalen Manager.
   1. Nutzer, um die Postman-Plattform zu installieren.
   2. Wählen Sie auf der Registerkarte Authorization die Option Type>Basic Auth aus.
   3. Geben Sie die Anmeldedaten für NSX-T Manager ein.

4. Ändern Sie auf der Registerkarte "Headers" "application/xml" in "application/json".

5. Wählen Sie auf der Registerkarte Text die Option POST API .
   1. Wählen Sie Raw und dann JSON aus.
   2. Geben Sie im Feld neben POST die URL ein. https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
   3. Im obigen Beispiel ist die URL die IP-Adresse, die für einen beliebigen NSX Manager in einem bestimmten lokalen Managercluster verwendet wird.
   4. Geben Sie im Abschnitt "Text " in zwei Zeilen Folgendes ein, wie im Screenshot zu sehen:

{ "cert_id": "<certificate id, copied from step 3>",
"service_type": "LOCAL_MANAGER" }

6. Klicken Sie auf Senden und stellen Sie sicher, dass das Ergebnis 200 OK angezeigt wird.

5. Wiederholen Sie die Schritte 1 bis 4 auf jedem Local Manager-Cluster 2 und 3.

Sobald diese Schritte abgeschlossen sind, haben Sie ein neues Zertifikat auf jedem lokalen Managercluster erstellt und das Prinzipalidentitätszertifikat auf jedem lokalen Managercluster ersetzt.

Es ist jetzt an der Zeit, die alten ablaufenden Zertifikate von jedem der drei lokalen Managercluster zu löschen.

1. Stellen Sie sicher, dass das Zertifikat nicht mehr verwendet wird.
   1. Zertifikats-ID kopieren
   2. Postbote öffnen
   3. Wählen Sie GET API anstelle von POST aus.
   4. URL eingeben https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id>
   5. Suchen Sie nach "used_by" und bestätigen Sie, dass leere Klammern vorhanden sind.

    "used_by" : [ ],
    "resource_type" : "certificate_self_signed",
    "id" : "9cd133ca-32fc-48a2-898b-7acd928512a5",
    "display_name" : "local-manager",
    "description" : "",
    "tags" : [ ],
    "_create_user" : "admin",
    "_create_time" : 1677468138846,
    "_last_modified_user" : "admin",
    "_last_modified_time" : 1677468138846,
    "_system_owned" : false,
    "_protection" : "NOT_PROTECTED",
    "_revision" : 0
  }

2. Navigieren Sie zu Systemeinstellungen >>Zertifikate und wählen Sie das erforderliche Zertifikat aus.

3. Klicken Sie auf Delete>Delete.

4. Vergewissern Sie sich, dass Principal Identity funktioniert und die neuen Zertifikate verwenden:
   1. Postbote öffnen
   2. Wählen Sie GET aus.
   3. URL ausführen https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie.
   4. Die Ausgabe sollte der folgenden ähneln: "certificate_id" sollte die neu erstellte Zertifikat-ID anzeigen.

Ersetzen von Global-Manager-Zertifikaten:

Um das Global Manager-Zertifikat zu ersetzen, befolgen Sie denselben Prozess, ändern Sie jedoch "LOCAL_MANAGER" in "GLOBAL_MANAGER" und führen Sie das Verfahren über den Global Manager-Cluster aus.

Weitere verwandte Artikel:

Weitere Informationen finden Sie in den folgenden Broadcom VMware-Artikeln:

• Arten von Zertifikaten 
• Konfigurieren von Global Manager und lokalen Managern
• Ersetzen von Zertifikaten auf Version 3.2  
• Ersetzen von Zertifikaten auf Version 3.1
• Erstellen einer Zertifikatsignieranforderungsdatei 
• So erneuern Sie das NSX-t-Superuser-Zertifikat, das vom Prinzipalidentitätsnutzer verwendet wird

VxRail G410, VxRail G Series Nodes, VxRail E560 VCF, VxRail E560F, VxRail E560F VCF, VxRail E560N, VxRail E560N VCF, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560, VxRail G560 VCF, VxRail G560F , VxRail G560F VCF, VxRail Gen2 Hardware, VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570 VCF, VxRail P570F, VxRail P570F VCF, VxRail P580N, VxRail P580N VCF, VxRail P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S570 VCF, VxRail S670, VxRail Software, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570 VCF, VxRail V570F, VxRail V570F VCF, VXRAIL V670F, VxRail VD-4000R, VxRail VD-4000W, VxRail VD-4000Z, VxRail VD-4510C, VxRail VD-4520C, VxRail VD Series Nodes ... View More View Less