VCF sur VxRail : Remplacement du certificat NSX-T Local-Manager dans VCF eEnvironment
Résumé: Cet article constitue un guide pour le remplacement du certificat auto-signé NSX-T Local-Manager dans les environnements de fédération gérés par VMware Cloud Foundation (VCF). Assurez-vous que votre système reste sécurisé et conforme. ...
Instructions
Informations :
Il existe différents types de certificats NSX-T, comme décrit ci-dessous :
| Nom du certificat | Objectif | Remplaçable | Validité par défaut |
| Tomcat | Il s’agit d’un certificat d’API utilisé pour la communication externe avec des nœuds NSX Manager individuels via l’interface utilisateur ou l’API. | Oui | 825 jours |
| mp-cluster | Il s’agit d’un certificat API utilisé pour la communication externe avec le cluster NSX Manager à l’aide du VIP du cluster, via l’interface utilisateur ou l’API. | Oui | 825 jours |
| LocalManager | Il s’agit d’un certificat d’identité principal de plate-forme pour la fédération. Si vous n’utilisez pas Federation, ce certificat n’est pas utilisé. | Oui | 825 jours |
Pour les solutions VCF :
Tomcat et mp-cluster sont remplacés par des certificats d’autorité de certification signés par VMware Certificate Authority (VMCA) à partir de vCenter. Les certificats mp-cluster et Tomcat sont peut-être toujours présents, mais ils ne sont pas utilisés.
NSX-T Manager avec VCF :
- Tomcat - Node1 > not being used
- mp-cluster - VIP > non utilisée
Lors de l’installation, remplacez-le par les éléments suivants :
- CA - Node1
- CA - VIP
Exécutez l’API suivante sur la plate-forme Postman pour vérifier si le certificat est utilisé :
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>
Le certificat de gestionnaire local est le certificat d’identité principal utilisé pour communiquer avec d’autres sites de la fédération.
Un environnement NSX-T Federation contient un cluster de gestionnaires globauxactif et en veille et un ou plusieurs clusters de gestionnaires locaux.
Figure 1 : Affiche trois emplacements avec des clusters de gestionnaires globauxactifs et en veille aux emplacements 1 et 2 avec des clusters de gestionnaires locaux dans les trois emplacements.
Comment déterminer le nombre de clusters Local Manager :
Suivez les étapes ci-dessous et la Figure 2 pour vérifier l’environnement et déterminer le nombre de clusters Local Manager :
Dans System>Configuration Location>Manager :
- La partie supérieure de Local Manager indique le cluster auquel vous êtes connecté. Dans cet exemple, il est connecté à un cluster Local Manager.
- Au milieu de la page, il affiche les Global Manager Clusters, ainsi que le cluster actif et celui en veille.
- Les autres clusters de gestionnaires locaux s’affichent en bas sous Sites distants.
Figure 2 : Environnement du cluster du gestionnaire local
Procédure de remplacement des certificats auto-signés du gestionnaire local :
- Connectez-vous à NSX Manager dans le cluster Local Manager.
- Collectez une sauvegarde NSX-T avant de continuer. Cette étape est importante !
Système>Gestion du cycle de> vie Sauvegarde et restauration>Démarrer la sauvegarde
Graphique 3 : Collectez la sauvegarde NSX-T. - Vérifiez les certificats et la date d’expiration.
Cliquez sur System>Settings>Certificates
L’exemple ci-dessous indique en rouge la date d’expiration des certificats du gestionnaire local :
Figure 4 : Date d’expiration des certificats du gestionnaire local
Il existe un certificat par cluster de gestionnaires locaux , quel que soit le nombre de gestionnaires NSX au sein du cluster.
- Connectez-vous à n’importe quel NSX Manager sur le cluster de gestionnaire local 1.
- Générez une nouvelle CSR.
- Cliquez sur Paramètres>système>Certificats>CSR Générer une>CSR.
Figure 5 : Générez une nouvelle CSR. - Saisissez le nom commun en tant que local-manager.
- Saisissez le nom en tant que LocalManager.
- Le reste est constitué de détails sur l’entreprise et le site de l’utilisateur (ils peuvent être copiés à partir d’un ancien certificat arrivant à expiration).
- Cliquez sur Enregistrer.
Figure 6 : Saisissez les noms CSR et les informations de localité.
- Cliquez sur Paramètres>système>Certificats>CSR Générer une>CSR.
- Créez un certificat auto-signé à l’aide de la CSR générée.
- Cochez la case >New CSRGenerate CSR>Self-Sign Certificate for CSR.
Figure 7 : Créez un certificat auto-signé. - Vérifiez que Service Certificate est défini sur No , puis cliquez sur Save.
- Revenez à l’onglet Certificats , recherchez le nouveau certificat et copiez l’ID du certificat.
Figure 8 : Copier le nouvel ID de certificat
- Cochez la case >New CSRGenerate CSR>Self-Sign Certificate for CSR.
- Remplacez le certificat d’identité principal du gestionnaire local.
- Utilisateur pour installer la plate-forme Postman .
- Dans l’onglet Authorization , sélectionnez Type>Basic Auth.
- Saisissez les informations de connexion à NSX-T Manager.
Figure 9 : Saisissez les informations de connexion à NSX-T Manager. - Dans l’onglet Headers , modifiez
application/xmltoapplication/json:
Figure 10 : Onglet Headers - Dans Postman, changez
application/xmltoapplication/json - Dans l’onglet Corps , sélectionnez l’icône
POST API.- Sélectionnez Raw, puis JSON.
- Dans la zone située en regard de POST, saisissez l’URL
https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation - Dans l’exemple ci-dessus, l’URL est l’adresse IP utilisée pour n’importe quel NSX Manager au sein d’un cluster Local Manager spécifique.
- Dans la section du corps , saisissez les éléments suivants en deux lignes, comme indiqué dans la capture d’écran :
{ "cert_id": "<certificate id, copied from step 3>", "service_type": "LOCAL_MANAGER" }
- Cliquez sur Envoyer et vérifiez que le résultat est 200 OK.
- Répétez les étapes 1 à 4 sur chaque Local Manager Cluster 2 et 3.
Une fois ces étapes terminées, vous avez créé un nouveau certificat et remplacé le certificat d’identité principal sur chaque cluster Local Manager.
Il est maintenant temps de supprimer les anciens certificats arrivant à expiration de chacun des trois clusters de gestionnaires locaux.
- Vérifiez que le certificat n’est plus en cours d’utilisation.
- Copier l’ID du certificat
- Ouvrir le facteur
- Sélectionnez GET API au lieu de POST.
- Saisir l’URL
https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id> - Chercher
used_byet vérifiez qu’il comporte des crochets vides. "used_by" : [ ],« resource_type » : « certificate_self_signed », « id » : « 9cd133ca-32fc-48a2-898b-7acd928512a5 », « display_name » : « local-manager », « description » : « », « tags » : [ ], « _create_user » : « admin », « _create_time » : 1677468138846, « _last_modified_user » : « admin », « _last_modified_time » : 1677468138846, « _system_owned » : false, « _protection » : « NOT_PROTECTED », « _revision » : 0 }
- Accédez à Paramètres >système >Certificats, puis sélectionnez le certificat requis.
Figure 12 : Sélectionnez le certificat requis. - Cliquez sur Delete>Delete.
Figure 14 : Supprimer le certificat. - Vérifiez que l’identité principale fonctionne et utilise les nouveaux certificats :
- Ouvrir le facteur
- Sélectionnez GET.
- URL d’exécution
https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie. Le résultat doit être similaire à ce qui suit,"certificate_id"doit afficher l’ID de certificat nouvellement créé.

Figure 15 : Certificate ID affiche le nouvel ID de certificat.
Informations supplémentaires
Remplacement des certificats Global-manager :
Pour remplacer le certificat de responsable global, suivez le même processus, mais modifiez-le "LOCAL_MANAGER" to "GLOBAL_MANAGER" et effectuez la procédure à partir du Global Manager Cluster.