安装 NSX 后,管理器节点和集群具有自签名证书。证书有效期为825天,到期后需要进行证书重新更新。
如图所示,本环境中此次将有三个类型的证书即将到期需要替换:

1.NSX 联合身份验证 PI(LocalManager)证书- 在 NSX 全局管理器和本地管理器之间使用;用于本地管理器,该特定本地管理器的 PI 证书。
2.NSX Manager 群集/VIP(mp-cluster) 证书 – 与群集虚拟 IP 一起使用,每个群集一个证书;用于与全局管理器或本地管理器集群的 VIP 之间的 UI/API 通信。
3.NSX 管理器节点Tomcat证书 – 此证书用于单个管理节点IP, 用于与单个全局管理器以及添加到全局管理器的每个位置的本地管理器节点之间的 UI/API 通信。(本环境中共有三个管理节点:nsxm01/nsxm02/ nsxm03,因此需要更新5个证书)。
下面将介绍使用NSX自签名方式来申请和替换即将到期的证书。
一、记录要更新证书的名称和DN字符串
从浏览器中,使用管理员特权登录到 NSX Manager,网址为 https://<naxmgr>。      
选择系统 > 证书。      
单击 证书
记录要更新证书的名称和DN字符串,用于生成 CSR文件。
点击证书名称记录证书名称与DN 字符串
名称:LocalManager
DN 字符串:CN=local-manager,O=VMware,L=PaloAlto,ST=California,C=US                 

名称:mp-cluster certificate for node nsxm01
DN 字符串:CN=nsxm01,OU=NSX,O=VMware Inc.,L=Palo Alto,ST=CA,C=US

名称:tomcat certificate for node nsxm01(三个Manager 只是证书名称不一致)
DN 字符串CN=nsxm01,OU=NSX,O=VMware Inc.,L=Palo Alto,ST=CA,C=US

二、生成自签名证书
选择系统 > 证书。          
单击 CSR 选项卡。          
单击生成 CSR。          
填写 CSR 文件详细信息。(建议与当前证书信息保持一致)。
LocalManager CSR 文件生成

mp-cluster CSR 文件生成    

NSX Manager CRS证书生成(如果有三个Manager需要生成三个CSR文件名称为tomcat certificate for node “NSX Manager 主机名”)



所有CSR生成文件如下图:

选择一个 CSR。          
选择操作 > CSR 的自签名证书。          

输入自签名证书的有效天数。          
默认值为 825 天。即使您对以前生成的自签名证书更改此值,每次生成新证书时也会显示默认值。

重复上述步骤,为另外4个添加CSR自签名证书,添加完成后如下图所示

三、替换证书
使用管理员特权登录到 NSX Manager,选择选择”系统> 证书“,定位到需要替换的证书ID所在的单元格,双击可查看完整ID。(上图中标记1-5的证书文件需要记录证书ID)

通过使用root用户SSH登录到其中一个NSX Manager 中

 1. 替换NSX 联合身份验证 PI(LocalManager)证书

curl -k -u 'admin:Password' -H "Content-Type: application/json" -X POST https://<nax-mgr>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation -d '{"cert_id":"<certificate-id>","service_type":"LOCAL_MANAGER"}'

2. 替换NSX Manager 群集/VIP(mp-cluster) 证书 

curl -k -u 'admin:password' -X POST "https://<nax-mgr>/api/v1/cluster/api-certificate?action=set_cluster_certificate&certificate_id=<certificate-id>"

3.替换NSX 管理器节点Tomcat证书(三个NSX Manager 都需要进行替换)

curl -k -u 'admin:password' -X POST "https://<naxmgr>/api/v1/node/services/http?action=apply_certificate&certificate_id=<certificate-id>"

4.验证证书

curl -k -u 'admin:password' -X GET "https://<naxmgr>/api/v1/trust-management/certificates/<certificate-id>?action=validate"

命令执行如下(密码,NSX Manager ip,证书ID 需要换成自己环境的):
# 1. 替换NSX 联合身份验证 PI(LocalManager)证书

curl -k -u 'admin:VMware1!VMware1!' -H "Content-Type: application/json" -X POST https://192.168.210.111/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation -d '{"cert_id":"a7e5cb66-11b7-48c2-a3bc-91f3fb599cf1","service_type":"LOCAL_MANAGER"}'

# 2. 替换NSX Manager 群集/VIP(mp-cluster) 证书 

curl -k -u 'admin:VMware1!VMware1!' -X POST "https://192.168.210.111/api/v1/cluster/api-certificate?action=set_cluster_certificate&certificate_id=885af96a-2405-491b-9004-ab27966b7633"

# 3.替换NSX 管理器节点Tomcat证书(替换不同的NSX Manager证书,需更改Manager IP)

curl -k -u 'admin:VMware1!VMware1!' -X POST "https://192.168.210.111/api/v1/node/services/http?action=apply_certificate&certificate_id=c88af6d1-1752-4dea-be8b-33dddc3a2904"

curl -k -u 'admin:VMware1!VMware1!' -X POST "https://192.168.210.112/api/v1/node/services/http?action=apply_certificate&certificate_id=44b39f81-ffa4-436d-96b4-b3ff67a5d954"

curl -k -u 'admin:VMware1!VMware1!' -X POST "https://192.168.210.113/api/v1/node/services/http?action=apply_certificate&certificate_id=34496adf-f8fe-4f02-9177-11901f142f57"

# 4.验证证书

curl -k -u 'admin:VMware1!VMware1!' -X GET "https://192.168.210.111/api/v1/trust-management/certificates/a7e5cb66-11b7-48c2-a3bc-91f3fb599cf1?action=validate"

curl -k -u 'admin:VMware1!VMware1!' -X GET "https://192.168.210.111/api/v1/trust-management/certificates/885af96a-2405-491b-9004-ab27966b7633?action=validate"

curl -k -u 'admin:VMware1!VMware1!' -X GET "https://192.168.210.111/api/v1/trust-management/certificates/c88af6d1-1752-4dea-be8b-33dddc3a2904?action=validate"

curl -k -u 'admin:VMware1!VMware1!' -X GET "https://192.168.210.111/api/v1/trust-management/certificates/44b39f81-ffa4-436d-96b4-b3ff67a5d954?action=validate"

curl -k -u 'admin:VMware1!VMware1!' -X GET "https://192.168.210.111/api/v1/trust-management/certificates/34496adf-f8fe-4f02-9177-11901f142f57?action=validate"

执行结果如下图:

检查证书更新状态(三个NSX Manager 以及VIP登录查看证书)

删除已替换过的SSL证书(若在使用中的SSL证书无法删除)

此时NSX Manager SSL证书更新完成

VMware NSX Manager SSL证书更新的更多相关文章

  1. 十大免费SSL证书:网站免费添加HTTPS加密

    SSL证书,用于加密HTTP协议,也就是HTTPS.随着淘宝.百度等网站纷纷实现全站Https加密访问,搜索引擎对于Https更加友好,加上互联网上越来越多的人重视隐私安全,站长们给网站添加SSL证书 ...

  2. 如何在 CentOS 7 上生成 SSL 证书为 Nginx 加密

    本文首发:开发指南:如何在 CentOS 7 上安装 Nginx Let’s Encrypt 是由 Internet Security Research Group (ISRG) 开发的一个自由.自动 ...

  3. Cert Manager 申请 SSL 证书流程及相关概念 - 一

    2022.3.9 用 cert-manager 申请成功通配符证书 (*.ewhisper.cn), 2022.4.30 该证书距离过期还有 30 天,cert-manager 进行自动续期,但是却失 ...

  4. 阿里云负载均衡SSL证书配置(更新)

    阿里云负载均衡及应用防火墙SSL证书配置 转载请注明地址:http://www.cnblogs.com/funnyzpc/p/8908461.html 好久了呢,距上篇博客的这段时间中:考试.搬家.工 ...

  5. letsencrypt 免费SSL证书申请, 自动更新

    Let's Encrypt 泛域名 证书申请 及自动更新 关键字:SSL证书.HTTPS 初次申请 1. 下载certbot wget https://dl.eff.org/certbot-auto ...

  6. Vmware Horizon 服务器替换 ssl 证书

    先申请好证书,如通配符SSL证书 *.centaline.com.cn ,公网的证书供应商会给到3个文件:centaline.com.cn.crt .centaline.com.cn.csr.cent ...

  7. 从SDN鼻祖Nicira到VMware NSX 网络虚拟化平台的简单探讨

    以前的大二层技术,一般是在物理网络底层使用IS-IS路由技术,再在此基础之上,实现数据中心网络的二层扩展,如公有的Trill.SPB技术和Cisco私有的OTV.Fabricpath技术:前沿一些的网 ...

  8. VMware Component Manager服务无法启动

    近日,给一台Windows 2016上的vCenter打补丁,系统重启后,发现vmware的很多服务无法启动了.这是一台老版本的vcenter,虽然已经2021年了,但是它还管理着一些很老的ESX,比 ...

  9. 添加自签发的 SSL 证书为受信任的根证书

    原文:http://cnzhx.net/blog/self-signed-certificate-as-trusted-root-ca-in-windows/ 添加自签发的 SSL 证书为受信任的根证 ...

  10. StartCom 申请 SSL 证书及 Nginx HTTPS 支持配置全攻略

    来源:https://www.williamyao.com/index.php/archives/1397/ 前言 最近收到 StartCom 的邮件,数字证书即将过期,想到去年在 StartSSL ...

随机推荐

  1. SpringSecurity - [01] 概述

    Spring Security 是一个灵活且强大的工具,可以帮助你构建安全可靠的Spring应用程序.它不仅简化了认证和授权的过程,而且还提供了丰富的特性和扩展点,使得开发者可以根据项目的独特需求定制 ...

  2. CUDA时长统计

    技术背景 前面的一篇文章中介绍了在CUDA中使用宏来监测CUDA C函数或者Kernel函数的运行报错问题.同样的思路,我们可用写一个用于统计函数运行时长的宏,这样不需要使用额外的工具来对函数体的性能 ...

  3. 李沐动手学深度学习V2-chapter_linear-networks

    李沐动手学深度学习V2 文章内容说明 本文主要是自己学习过程中的随手笔记,需要自取 课程参考B站:https://space.bilibili.com/1567748478?spm_id_from=3 ...

  4. 如何解决ubuntu安装第三方deb出现的read unknown VMA问题(SUID sandbox配置问题)

    前言 众所不周知,ubuntu的snap有些让人无语凝噎的问题,比方说如果你在Ubuntu 24.04 LTS通过它安装vscode,恭喜你,你无法在vscode中输入中文,缘由不明,又或者对于str ...

  5. Arrays工具类教你优雅地管理数组数据

    数组专用工具类指的是 java.util.Arrays 类,基本上常见的数组操作,这个类都提供了静态方法可供直接调用.毕竟数组本身想完成这些操作还是挺麻烦的,有了这层封装,就方便多了. package ...

  6. Excel批量获取当前时间差

    使用now函数获取当前时间 Office 2007 Excel使用now函数 首先打开Excel,选中一个要插入日期的单元格 选中后,点击菜单栏上的插入,选择函数 点击后,会出现一个公式生成器,在上面 ...

  7. rsarsa-给定pqe求私钥对密文解密

    题目: Math is cool! Use the RSA algorithm to decode the secret message, c, p, q, and e are parameters ...

  8. 网站支持https之一:https原理和SSL证书类型

    1 https原理 https加密请求过程 Client和Server之间会进行一下几个步骤的交互: ① Client发送https请求: ② Client和Server通过tcp的三次握手建立连接, ...

  9. Python进阶知识:多进程/多线程/装饰器

    本文写作于2025.3.20,恰好作者正好在外面实习,于此同时在实际工作中遇到这些知识点,因此就进行一个简短汇总方便后续回顾,内容同步更新(显示问题可以直接看):https://www.big-yel ...

  10. BUUCTF---世上无难事

    1.题目 给出一大串密文,说flag藏在其种并且是32位 2.解题 结合题目所给信息,flag在其中32位,并且语句通顺,想来是移位密码,需要加偏移量Mod的那种,最后数字应该代表了key is XX ...