VCF na VxRail: Wymień certyfikat NSX-T Local-Manager w VCF eEnvironment

Podsumowanie: Ten artykuł zawiera wskazówki dotyczące zastępowania certyfikatu NSX-T Local-Manager z podpisem własnym w zarządzanych środowiskach federacyjnych VMware Cloud Foundation (VCF). Upewnij się, że Twój system pozostaje bezpieczny i zgodny z przepisami. ...

Ten artykuł dotyczy Ten artykuł nie dotyczy Ten artykuł nie jest powiązany z żadnym konkretnym produktem. Nie wszystkie wersje produktu zostały zidentyfikowane w tym artykule.
Sprawdź inne zasoby

Instrukcje

Postępuj zgodnie z tym artykułem tylko dla środowisk federacyjnych NSX-T zarządzanych przez VCF!


Opis:

Istnieją różne typy certyfikatów NSX-T zgodnie z poniższym opisem:
 

Nazwa certyfikatu Zastosowanie Wymienne Ważność domyślna
Tomcat Jest to certyfikat API używany do komunikacji zewnętrznej z poszczególnymi węzłami NSX Manager za pośrednictwem interfejsu użytkownika lub API. Tak 825 dni
mp-klaster Jest to certyfikat API używany do komunikacji zewnętrznej z klastrem NSX Manager przy użyciu adresu VIP klastra, za pośrednictwem interfejsu użytkownika lub interfejsu API. Tak 825 dni
Menedżer lokalny Jest to certyfikat tożsamości głównej platformy dla federacji. Jeśli nie używasz federacji, ten certyfikat nie jest używany. Tak 825 dni


W przypadku rozwiązań VCF:

Tomcat i mp-cluster są zastępowane certyfikatami CA podpisanymi przez VMware Certificate Authority (VMCA) z vCenter. Certyfikaty mp-cluster i Tomcat mogą nadal istnieć, ale nie są używane.


NSX-T Manager z VCF:

  • Tomcat — węzeł Node1 > nie jest używany
  • mp-cluster - VIP > nie jest używany

Podczas instalacji wymieniany na następujący:

  • CA — węzeł 1
  • CA — VIP

Uruchom następujący interfejs API na platformie Postman , aby sprawdzić, czy certyfikat jest używany:

GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>


Certyfikat menedżera lokalnego jest certyfikatem tożsamości podmiotu głównego używanym do komunikowania się z innymi lokacjami w federacji.

Środowisko federacyjne NSX-T zawiera aktywny i rezerwowy klaster menedżera globalnego oraz co najmniej jeden klaster menedżera lokalnego.
 

Pokazuje trzy lokalizacje z aktywnymi i rezerwowymi klastrami menedżera globalnego w lokalizacjach 1 i 2 z klastrami Menedżer lokalny we wszystkich trzech lokalizacjach.
Rysunek 1. Pokazuje trzy lokalizacje z aktywnymi i rezerwowymi klastrami menedżera globalnego w lokalizacjach 1 i 2 z klastrami menedżera lokalnego we wszystkich trzech lokalizacjach.


Jak ustalić liczbę klastrów Local Manager:

Aby sprawdzić środowisko i dowiedzieć się, ile jest klastrów Menedżera lokalnego, wykonaj poniższe czynności i rysunek 2:

W Menedżerze lokalizacjikonfiguracji systemu>>:

  • W górnej części Menedżera lokalnego widoczny jest klaster, do którego użytkownik jest zalogowany. W tym przykładzie jest zalogowany do klastra Local Manager.
  • Na środku strony widoczne są klastry menedżera globalnego oraz klaster aktywny, a który zapasowy.
  • Inne klastry Menedżera lokalnego są widoczne u dołu w sekcji Lokalizacje zdalne.

Menedżer lokalny środowiska klastra
Rysunek 2: Menedżer lokalny środowiska klastra


Procedura zastąpienia certyfikatów z podpisem własnym menedżera lokalnego:

  1. Zaloguj się do NSX Manager w klastrze Local Manager.
  2. Przed kontynuowaniem zbierz kopię zapasową NSX-T. Ten krok jest ważny!
    System>Zarządzanie cyklem> życia Tworzenie kopii zapasowych i przywracanie danych>Rozpocznij tworzenie kopii zapasowej
    Zbieranie kopii zapasowych NSX-T
    Rysunek 3: Zbieranie kopii zapasowych NSX-T.
  3. Sprawdź certyfikaty i datę ważności.
    > Kliknij opcję System Settings>Certificates
    W poniższym przykładzie zaznaczono na czerwono datę wygaśnięcia certyfikatów menedżera lokalnego:Data wygaśnięcia certyfikatów lokalnego zarządcy Rysunek 4: Data wygaśnięcia certyfikatów lokalnego zarządcy


Istnieje jeden certyfikat dla każdego klastra Local Manager , niezależnie od liczby menedżerów NSX w klastrze.

  1. Zaloguj się do dowolnego menedżera NSX Managerw klastrze Local Manager 1.
  2. Wygeneruj nowy CSR.
    1. >Kliknij opcjęSystem Settings>Certificates>CSR>Generate CSRWygeneruj nowy CSRRysunek 5: Wygeneruj nowy CSR.
    2. Wprowadź nazwę pospolitą jako local-manager.
    3. Wprowadź nazwę jako LocalManager.
    4. Reszta to dane dotyczące firmy użytkownika i lokalizacji (można je skopiować ze starego wygasającego certyfikatu).
    5. Kliknij przycisk Save.
      Wprowadź nazwy CSR i informacje o miejscowości
      Rysunek 6: Wprowadź nazwy CSR i informacje o miejscowości.
  3. Utwórz certyfikat z podpisem własnym przy użyciu wygenerowanego CSR.
    1. Kliknij pole > wyboru New CSRGenerate CSR>Self-Sign Certificate for CSR.Utwórz certyfikat z podpisem własnym
      Rysunek 7: Utwórz certyfikat z podpisem własnym.
    2. Upewnij się, że certyfikat serwisowy jest ustawiony na Nie i kliknij przycisk Save.
    3. Wróć do karty Certificates , znajdź nowy certyfikat i skopiuj identyfikator certyfikatu.Kopiuj nowy identyfikator certyfikatu
      Rysunek 8: Kopiuj nowy identyfikator certyfikatu
  4. Wymień certyfikat tożsamości podmiotuzabezpieczeń dla menedżera lokalnego.
    1. Użytkownik do zainstalowania platformy Postman .
    2. Na karcie Autoryzacja wybierz pozycję Typ>uwierzytelniania podstawowego.
    3. Wprowadź dane logowania NSX-T Manager.
      Wprowadź dane logowania NSX-T Manager
      Rysunek 9: Wprowadź dane logowania NSX-T Manager.
    4. Na karcie Nagłówki zmień application/xml na application/json:W narzędziu Postman zmień wartość
      Rysunek 10. Karta Headers 
    5. W narzędziu Postman zmień application/xml na application/json
    6. Na karcie Treść wybierz ikonę POST API .
      1. Wybierz pozycję Raw, a następnie wybierz pozycję JSON.
      2. W polu obok metody POST wpisz adres URL https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
      3. W powyższym przykładzie adres URL jest adresem IP używanym dla dowolnego menedżera NSX w określonym klastrze Local Manager.
      4. W sekcji treści wprowadź następujące informacje w dwóch wierszach, jak pokazano na zrzucie ekranu: 
        { "cert_id": "<certificate id, copied from step 3>",
"service_type": "LOCAL_MANAGER" }
        Wprowadź adres URL dowolnego menedżera NSX w określonym klastrze menedżera lokalnego
    7. Kliknij Wyślij i upewnij się, że widzisz wynik 200 OK.
  5. Powtórz kroki od 1 do 4 dla każdego klastra 2 i 3 menedżera lokalnego.

Po wykonaniu tych kroków utworzono jeden nowy certyfikat i zastąpiono główny certyfikat tożsamości w każdym klastrze usługi Local Manager.

Teraz nadszedł czas, aby usunąć stare, wygasające certyfikaty z każdego z trzech klastrów Local Manager.

  1. Sprawdź, czy certyfikat nie jest już używany.
    1. Kopiuj identyfikator certyfikatu
    2. Otwórz listonosza
    3. Wybierz GET API zamiast POST.
    4. Wprowadź adres URL https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id>
    5. Szukać used_by i upewnij się, że ma puste nawiasy.
    6.     "used_by" : [ ],     "resource_type": "certificate_self_signed", "id": "9cd133ca-32fc-48a2-898b-7acd928512a5", "display_name": "local-manager", "description": "", "tagi": [ ], "_create_user" : "admin", "_create_time" : 1677468138846, "_last_modified_user": "admin", "_last_modified_time" : 1677468138846, "_system_owned" : false, "_protection" : "NOT_PROTECTED", "_revision": 0   }
  2. Przejdź do >opcji System Settings >Certificates i wybierz wymagany certyfikat.Wybierz wymagany certyfikat
    Rysunek 12. Wybierz żądany certyfikat.
  3. Kliknij Usuń>, Usuń.
    Usuń certyfikat
    Rysunek 14. Usuń certyfikat.
  4. Upewnij się, że tożsamość podmiotu zabezpieczeń działa i używa nowych certyfikatów:
    1. Otwórz listonosza
    2. Wybierz opcję GET.
    3. Adres URL uruchamiania https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie.
    4.  Dane wyjściowe powinny być podobne do poniższych, "certificate_id" powinien pokazywać nowo utworzony identyfikator certyfikatu.

 

 

Identyfikator certyfikatu pokazuje nowy identyfikator certyfikatu
Rysunek 15. Identyfikator certyfikatu wyświetla nowy identyfikator certyfikatu.

 

Dodatkowe informacje

Wymiana certyfikatów menedżera globalnego:

Aby zastąpić certyfikat Global Manager, należy wykonać ten sam proces, ale zmienić "LOCAL_MANAGER" na "GLOBAL_MANAGER" i wykonaj procedurę z poziomu klastra Global Manager.


Inne powiązane artykuły:Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.

Produkty, których dotyczy problem

VMWare Cloud on Dell EMC VxRail E560F, VMWare Cloud on Dell EMC VxRail E560N, VxRail E560 VCF, VxRail E560F VCF, VxRail E560N VCF, VxRail G560 VCF, VxRail G560F VCF, VxRail P570 VCF, VxRail P570F VCF, VxRail P580N VCF, VxRail S570 VCF , VxRail V570 VCF, VxRail V570F VCF ...

Produkty

VxRail G410, VxRail G Series Nodes, VxRail E560 VCF, VxRail E560F, VxRail E560F VCF, VxRail E560N, VxRail E560N VCF, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560, VxRail G560 VCF, VxRail G560F , VxRail G560F VCF, VxRail Gen2 Hardware, VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570 VCF, VxRail P570F, VxRail P570F VCF, VxRail P580N, VxRail P580N VCF, VxRail P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S570 VCF, VxRail S670, VxRail Software, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570 VCF, VxRail V570F, VxRail V570F VCF, VXRAIL V670F, VxRail VD-4000R, VxRail VD-4000W, VxRail VD-4000Z, VxRail VD-4510C, VxRail VD-4520C, VxRail VD Series Nodes ...
Właściwości artykułu
Numer artykułu: 000210329
Typ artykułu: How To
Ostatnia modyfikacja: 07 maj 2026
Wersja:  5
Znajdź odpowiedzi na swoje pytania u innych użytkowników produktów Dell
Usługi pomocy technicznej
Sprawdź, czy Twoje urządzenie jest objęte usługą pomocy technicznej.