简述:
如下图所示,本环境中此次将有三个类型的证书即将到期需要替换:
1.NSX Manager 群集/VIP(mp-cluster) 证书 – 与群集虚拟 IP 一起使用,每个群集一个证书;
用于与全局管理器或本地管理器集群的 VIP 之间的 UI/API 通信。
2.NSX 管理器节点Tomcat证书 – 此证书用于单个管理节点 IP,用于全局管理器和每个本地管理器。
用于与单个全局管理器以及添加到全局管理器的每个位置的本地管理器节点之间的 UI/API 通信。
(本环境中共有三个管理节点:Manager01/Manager02/Manager03)。
3.NSX 联合身份验证 PI(LocalManager)证书- 在 NSX 全局管理器和本地管理器之间使用;
用于本地管理器,该特定本地管理器的 PI 证书。
一、生成自签名证书
从浏览器中,使用管理员特权登录到 NSX Manager,网址为 https://<nsx-manager-ip-address>
选择系统 > 证书 > 单击 CSR 选项卡 > 单击生成 CSR > 填写 CSR 文件详细信息。
单击生成。
自定义 CSR 将显示为一个链接。
选择一个 CSR > 选择操作 > CSR 的自签名证书 > 输入自签名证书的有效天数。
默认值为 825 天。即使您对以前生成的自签名证书更改此值,每次生成新证书时也会显示默认值。
单击添加。
添加完成后,自签名证书将显示在证书选项卡中。
二、替换证书
1、postman软件
2、登录NSX
3、替换Node及mp-cluster证书
使用管理员特权登录到 NSX Manager,选择选择”系统 > 证书“,定位到需要替换的证书ID所在的单元格,双击可查看完整ID。
把0a111c12-c628-4aed-8c31-b5de3202d603替换成新生成的证书:
POST https://172.16.10.98/api/v1/node/services/http?action=apply_certificate&
certificate_id=0a111c12-c628-4aed-8c31-b5de3202d603替换完成后会在Postman界面看到状态为200。
新开页面访问 nsx manager,查看证书和证书过期时间是否显示为新证书的时间。
4、替换 Local Manager 证书
将Postman的模式改为”POST“,地址输入:
https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation把Postman的Header选项卡中将参数名(Key)更改为“Content-Type”,参数值(Value)更改为”application/json”
Body选项卡中选中”Raw“并将数据类型修改为”json“
在json内容中输入:
<certificate-id> 替换成新证书的ID,不需要<>
{ "cert_id": "<certificate-id>","service_type":"LOCAL_MANAGER"}执行完成后,状态显示200
替换完成。
No Comments