安装 NSX 后,管理器节点和集群具有自签名证书。证书有效期为825天,到期后需要进行证书重新更新。
如图所示,本环境中此次将有三个类型的证书即将到期需要替换:

1.NSX 联合身份验证 PI(LocalManager)证书- 在 NSX 全局管理器和本地管理器之间使用;用于本地管理器,该特定本地管理器的 PI 证书。
2.NSX Manager 群集/VIP(mp-cluster) 证书 – 与群集虚拟 IP 一起使用,每个群集一个证书;用于与全局管理器或本地管理器集群的 VIP 之间的 UI/API 通信。
3.NSX 管理器节点Tomcat证书 – 此证书用于单个管理节点IP, 用于与单个全局管理器以及添加到全局管理器的每个位置的本地管理器节点之间的 UI/API 通信。(本环境中共有三个管理节点:nsxm01/nsxm02/ nsxm03,因此需要更新5个证书)。
下面将介绍使用NSX自签名方式来申请和替换即将到期的证书。
一、记录要更新证书的名称和DN字符串
从浏览器中,使用管理员特权登录到 NSX Manager,网址为 https://<naxmgr>。      
选择系统 > 证书。      
单击 证书
记录要更新证书的名称和DN字符串,用于生成 CSR文件。
点击证书名称记录证书名称与DN 字符串
名称:LocalManager
DN 字符串:CN=local-manager,O=VMware,L=PaloAlto,ST=California,C=US                 

名称:mp-cluster certificate for node nsxm01
DN 字符串:CN=nsxm01,OU=NSX,O=VMware Inc.,L=Palo Alto,ST=CA,C=US

名称:tomcat certificate for node nsxm01(三个Manager 只是证书名称不一致)
DN 字符串CN=nsxm01,OU=NSX,O=VMware Inc.,L=Palo Alto,ST=CA,C=US

二、生成自签名证书
选择系统 > 证书。          
单击 CSR 选项卡。          
单击生成 CSR。          
填写 CSR 文件详细信息。(建议与当前证书信息保持一致)。
LocalManager CSR 文件生成

mp-cluster CSR 文件生成    

NSX Manager CRS证书生成(如果有三个Manager需要生成三个CSR文件名称为tomcat certificate for node “NSX Manager 主机名”)



所有CSR生成文件如下图:

选择一个 CSR。          
选择操作 > CSR 的自签名证书。          

输入自签名证书的有效天数。          
默认值为 825 天。即使您对以前生成的自签名证书更改此值,每次生成新证书时也会显示默认值。

重复上述步骤,为另外4个添加CSR自签名证书,添加完成后如下图所示

三、替换证书
使用管理员特权登录到 NSX Manager,选择选择”系统> 证书“,定位到需要替换的证书ID所在的单元格,双击可查看完整ID。(上图中标记1-5的证书文件需要记录证书ID)

通过使用root用户SSH登录到其中一个NSX Manager 中

 1. 替换NSX 联合身份验证 PI(LocalManager)证书

curl -k -u 'admin:Password' -H "Content-Type: application/json" -X POST https://<nax-mgr>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation -d '{"cert_id":"<certificate-id>","service_type":"LOCAL_MANAGER"}'

2. 替换NSX Manager 群集/VIP(mp-cluster) 证书 

curl -k -u 'admin:password' -X POST "https://<nax-mgr>/api/v1/cluster/api-certificate?action=set_cluster_certificate&certificate_id=<certificate-id>"

3.替换NSX 管理器节点Tomcat证书(三个NSX Manager 都需要进行替换)

curl -k -u 'admin:password' -X POST "https://<naxmgr>/api/v1/node/services/http?action=apply_certificate&certificate_id=<certificate-id>"

4.验证证书

curl -k -u 'admin:password' -X GET "https://<naxmgr>/api/v1/trust-management/certificates/<certificate-id>?action=validate"

命令执行如下(密码,NSX Manager ip,证书ID 需要换成自己环境的):
# 1. 替换NSX 联合身份验证 PI(LocalManager)证书

curl -k -u 'admin:VMware1!VMware1!' -H "Content-Type: application/json" -X POST https://192.168.210.111/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation -d '{"cert_id":"a7e5cb66-11b7-48c2-a3bc-91f3fb599cf1","service_type":"LOCAL_MANAGER"}'

# 2. 替换NSX Manager 群集/VIP(mp-cluster) 证书 

curl -k -u 'admin:VMware1!VMware1!' -X POST "https://192.168.210.111/api/v1/cluster/api-certificate?action=set_cluster_certificate&certificate_id=885af96a-2405-491b-9004-ab27966b7633"

# 3.替换NSX 管理器节点Tomcat证书(替换不同的NSX Manager证书,需更改Manager IP)

curl -k -u 'admin:VMware1!VMware1!' -X POST "https://192.168.210.111/api/v1/node/services/http?action=apply_certificate&certificate_id=c88af6d1-1752-4dea-be8b-33dddc3a2904"

curl -k -u 'admin:VMware1!VMware1!' -X POST "https://192.168.210.112/api/v1/node/services/http?action=apply_certificate&certificate_id=44b39f81-ffa4-436d-96b4-b3ff67a5d954"

curl -k -u 'admin:VMware1!VMware1!' -X POST "https://192.168.210.113/api/v1/node/services/http?action=apply_certificate&certificate_id=34496adf-f8fe-4f02-9177-11901f142f57"

# 4.验证证书

curl -k -u 'admin:VMware1!VMware1!' -X GET "https://192.168.210.111/api/v1/trust-management/certificates/a7e5cb66-11b7-48c2-a3bc-91f3fb599cf1?action=validate"

curl -k -u 'admin:VMware1!VMware1!' -X GET "https://192.168.210.111/api/v1/trust-management/certificates/885af96a-2405-491b-9004-ab27966b7633?action=validate"

curl -k -u 'admin:VMware1!VMware1!' -X GET "https://192.168.210.111/api/v1/trust-management/certificates/c88af6d1-1752-4dea-be8b-33dddc3a2904?action=validate"

curl -k -u 'admin:VMware1!VMware1!' -X GET "https://192.168.210.111/api/v1/trust-management/certificates/44b39f81-ffa4-436d-96b4-b3ff67a5d954?action=validate"

curl -k -u 'admin:VMware1!VMware1!' -X GET "https://192.168.210.111/api/v1/trust-management/certificates/34496adf-f8fe-4f02-9177-11901f142f57?action=validate"

执行结果如下图:

检查证书更新状态(三个NSX Manager 以及VIP登录查看证书)

删除已替换过的SSL证书(若在使用中的SSL证书无法删除)

此时NSX Manager SSL证书更新完成

VMware NSX Manager SSL证书更新的更多相关文章

  1. 十大免费SSL证书:网站免费添加HTTPS加密

    SSL证书,用于加密HTTP协议,也就是HTTPS.随着淘宝.百度等网站纷纷实现全站Https加密访问,搜索引擎对于Https更加友好,加上互联网上越来越多的人重视隐私安全,站长们给网站添加SSL证书 ...

  2. 如何在 CentOS 7 上生成 SSL 证书为 Nginx 加密

    本文首发:开发指南:如何在 CentOS 7 上安装 Nginx Let’s Encrypt 是由 Internet Security Research Group (ISRG) 开发的一个自由.自动 ...

  3. Cert Manager 申请 SSL 证书流程及相关概念 - 一

    2022.3.9 用 cert-manager 申请成功通配符证书 (*.ewhisper.cn), 2022.4.30 该证书距离过期还有 30 天,cert-manager 进行自动续期,但是却失 ...

  4. 阿里云负载均衡SSL证书配置(更新)

    阿里云负载均衡及应用防火墙SSL证书配置 转载请注明地址:http://www.cnblogs.com/funnyzpc/p/8908461.html 好久了呢,距上篇博客的这段时间中:考试.搬家.工 ...

  5. letsencrypt 免费SSL证书申请, 自动更新

    Let's Encrypt 泛域名 证书申请 及自动更新 关键字:SSL证书.HTTPS 初次申请 1. 下载certbot wget https://dl.eff.org/certbot-auto ...

  6. Vmware Horizon 服务器替换 ssl 证书

    先申请好证书,如通配符SSL证书 *.centaline.com.cn ,公网的证书供应商会给到3个文件:centaline.com.cn.crt .centaline.com.cn.csr.cent ...

  7. 从SDN鼻祖Nicira到VMware NSX 网络虚拟化平台的简单探讨

    以前的大二层技术,一般是在物理网络底层使用IS-IS路由技术,再在此基础之上,实现数据中心网络的二层扩展,如公有的Trill.SPB技术和Cisco私有的OTV.Fabricpath技术:前沿一些的网 ...

  8. VMware Component Manager服务无法启动

    近日,给一台Windows 2016上的vCenter打补丁,系统重启后,发现vmware的很多服务无法启动了.这是一台老版本的vcenter,虽然已经2021年了,但是它还管理着一些很老的ESX,比 ...

  9. 添加自签发的 SSL 证书为受信任的根证书

    原文:http://cnzhx.net/blog/self-signed-certificate-as-trusted-root-ca-in-windows/ 添加自签发的 SSL 证书为受信任的根证 ...

  10. StartCom 申请 SSL 证书及 Nginx HTTPS 支持配置全攻略

    来源:https://www.williamyao.com/index.php/archives/1397/ 前言 最近收到 StartCom 的邮件,数字证书即将过期,想到去年在 StartSSL ...

随机推荐

  1. Selenium 报错 提示“unable to find an ant file to run”

    解决:我采用方法2解决成功 翻译:不能找到执行文件 出现问题原因:这个文件是我从电脑A拷贝到电脑B,缺少相应文件导致

  2. python 二级 函数与代码复用

  3. [Qt基础-07 QSignalMapper]

    QSignalMapper 本文主要根据QT官方帮助文档以及日常使用,简单的介绍一下QSignalMapper的功能以及使用 文章目录 QSignalMapper 简介 使用方法 主要的函数 信号和槽 ...

  4. git 烂笔头

    git 烂笔头 触类旁通, 举一反三, 不求甚解, 欢迎补充 详细介绍 git connect github # 1. 本地配置, 姓名和邮箱 git config --global user.nam ...

  5. Ubuntu给Appimage创建快捷方式

    下载 AppImageLauncher 2.安装 3.选择要运行的Appimage 双击运行即可.他会在home目录下创建一个applications文件夹,并且帮你自动创建快捷方式.

  6. Quartz.NET - 教程 2: 作业和触发器

    译者注: 目录在这 Quartz.NET 3.x 教程 原文在这 Lesson 2: Jobs And Triggers Quartz API Quartz API 的主要接口和类如下: ISched ...

  7. REST API从木愣到够呆

    目前准备写一个API服务,遵循REST规范,因为自己也是第一次接触这玩意,所以就以自我的认知和理解过程来记录,留爪. ##在REST里什么叫资源? 拿数据表为例: 现在有三张表:(此表非彼婊) sch ...

  8. javascript 字符串截取

    <script> //字符截取(需要的字符长度) function cut_str(need_str_length){     var bag_set = document.getElem ...

  9. 2. RabbitMQ 的详细安装步骤(两种方式,第一种:yum 安装;第二种:docker 容器安装)

    2. RabbitMQ 的详细安装步骤(两种方式,第一种:yum 安装:第二种:docker 容器安装) @ 目录 2. RabbitMQ 的详细安装步骤(两种方式,第一种:yum 安装:第二种:do ...

  10. 基于Lighthouse搭建高颜值的YesPlayMusic网易云播放器

    本文介绍了如何使用腾讯云的Lighthouse轻量应用服务器来搭建一个高颜值的第三方网易云播放器. 项目简介 本文使用的是YesPlayMusic项目,这是一款高颜值的第三方网易云播放器,它完全可以作 ...