安装 NSX 后,管理器节点和集群具有自签名证书。证书有效期为825天,到期后需要进行证书重新更新。
如图所示,本环境中此次将有三个类型的证书即将到期需要替换:

1.NSX 联合身份验证 PI(LocalManager)证书- 在 NSX 全局管理器和本地管理器之间使用;用于本地管理器,该特定本地管理器的 PI 证书。
2.NSX Manager 群集/VIP(mp-cluster) 证书 – 与群集虚拟 IP 一起使用,每个群集一个证书;用于与全局管理器或本地管理器集群的 VIP 之间的 UI/API 通信。
3.NSX 管理器节点Tomcat证书 – 此证书用于单个管理节点IP, 用于与单个全局管理器以及添加到全局管理器的每个位置的本地管理器节点之间的 UI/API 通信。(本环境中共有三个管理节点:nsxm01/nsxm02/ nsxm03,因此需要更新5个证书)。
下面将介绍使用NSX自签名方式来申请和替换即将到期的证书。
一、记录要更新证书的名称和DN字符串
从浏览器中,使用管理员特权登录到 NSX Manager,网址为 https://<naxmgr>。      
选择系统 > 证书。      
单击 证书
记录要更新证书的名称和DN字符串,用于生成 CSR文件。
点击证书名称记录证书名称与DN 字符串
名称:LocalManager
DN 字符串:CN=local-manager,O=VMware,L=PaloAlto,ST=California,C=US                 

名称:mp-cluster certificate for node nsxm01
DN 字符串:CN=nsxm01,OU=NSX,O=VMware Inc.,L=Palo Alto,ST=CA,C=US

名称:tomcat certificate for node nsxm01(三个Manager 只是证书名称不一致)
DN 字符串CN=nsxm01,OU=NSX,O=VMware Inc.,L=Palo Alto,ST=CA,C=US

二、生成自签名证书
选择系统 > 证书。          
单击 CSR 选项卡。          
单击生成 CSR。          
填写 CSR 文件详细信息。(建议与当前证书信息保持一致)。
LocalManager CSR 文件生成

mp-cluster CSR 文件生成    

NSX Manager CRS证书生成(如果有三个Manager需要生成三个CSR文件名称为tomcat certificate for node “NSX Manager 主机名”)



所有CSR生成文件如下图:

选择一个 CSR。          
选择操作 > CSR 的自签名证书。          

输入自签名证书的有效天数。          
默认值为 825 天。即使您对以前生成的自签名证书更改此值,每次生成新证书时也会显示默认值。

重复上述步骤,为另外4个添加CSR自签名证书,添加完成后如下图所示

三、替换证书
使用管理员特权登录到 NSX Manager,选择选择”系统> 证书“,定位到需要替换的证书ID所在的单元格,双击可查看完整ID。(上图中标记1-5的证书文件需要记录证书ID)

通过使用root用户SSH登录到其中一个NSX Manager 中

 1. 替换NSX 联合身份验证 PI(LocalManager)证书

curl -k -u 'admin:Password' -H "Content-Type: application/json" -X POST https://<nax-mgr>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation -d '{"cert_id":"<certificate-id>","service_type":"LOCAL_MANAGER"}'

2. 替换NSX Manager 群集/VIP(mp-cluster) 证书 

curl -k -u 'admin:password' -X POST "https://<nax-mgr>/api/v1/cluster/api-certificate?action=set_cluster_certificate&certificate_id=<certificate-id>"

3.替换NSX 管理器节点Tomcat证书(三个NSX Manager 都需要进行替换)

curl -k -u 'admin:password' -X POST "https://<naxmgr>/api/v1/node/services/http?action=apply_certificate&certificate_id=<certificate-id>"

4.验证证书

curl -k -u 'admin:password' -X GET "https://<naxmgr>/api/v1/trust-management/certificates/<certificate-id>?action=validate"

命令执行如下(密码,NSX Manager ip,证书ID 需要换成自己环境的):
# 1. 替换NSX 联合身份验证 PI(LocalManager)证书

curl -k -u 'admin:VMware1!VMware1!' -H "Content-Type: application/json" -X POST https://192.168.210.111/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation -d '{"cert_id":"a7e5cb66-11b7-48c2-a3bc-91f3fb599cf1","service_type":"LOCAL_MANAGER"}'

# 2. 替换NSX Manager 群集/VIP(mp-cluster) 证书 

curl -k -u 'admin:VMware1!VMware1!' -X POST "https://192.168.210.111/api/v1/cluster/api-certificate?action=set_cluster_certificate&certificate_id=885af96a-2405-491b-9004-ab27966b7633"

# 3.替换NSX 管理器节点Tomcat证书(替换不同的NSX Manager证书,需更改Manager IP)

curl -k -u 'admin:VMware1!VMware1!' -X POST "https://192.168.210.111/api/v1/node/services/http?action=apply_certificate&certificate_id=c88af6d1-1752-4dea-be8b-33dddc3a2904"

curl -k -u 'admin:VMware1!VMware1!' -X POST "https://192.168.210.112/api/v1/node/services/http?action=apply_certificate&certificate_id=44b39f81-ffa4-436d-96b4-b3ff67a5d954"

curl -k -u 'admin:VMware1!VMware1!' -X POST "https://192.168.210.113/api/v1/node/services/http?action=apply_certificate&certificate_id=34496adf-f8fe-4f02-9177-11901f142f57"

# 4.验证证书

curl -k -u 'admin:VMware1!VMware1!' -X GET "https://192.168.210.111/api/v1/trust-management/certificates/a7e5cb66-11b7-48c2-a3bc-91f3fb599cf1?action=validate"

curl -k -u 'admin:VMware1!VMware1!' -X GET "https://192.168.210.111/api/v1/trust-management/certificates/885af96a-2405-491b-9004-ab27966b7633?action=validate"

curl -k -u 'admin:VMware1!VMware1!' -X GET "https://192.168.210.111/api/v1/trust-management/certificates/c88af6d1-1752-4dea-be8b-33dddc3a2904?action=validate"

curl -k -u 'admin:VMware1!VMware1!' -X GET "https://192.168.210.111/api/v1/trust-management/certificates/44b39f81-ffa4-436d-96b4-b3ff67a5d954?action=validate"

curl -k -u 'admin:VMware1!VMware1!' -X GET "https://192.168.210.111/api/v1/trust-management/certificates/34496adf-f8fe-4f02-9177-11901f142f57?action=validate"

执行结果如下图:

检查证书更新状态(三个NSX Manager 以及VIP登录查看证书)

删除已替换过的SSL证书(若在使用中的SSL证书无法删除)

此时NSX Manager SSL证书更新完成

VMware NSX Manager SSL证书更新的更多相关文章

  1. 十大免费SSL证书:网站免费添加HTTPS加密

    SSL证书,用于加密HTTP协议,也就是HTTPS.随着淘宝.百度等网站纷纷实现全站Https加密访问,搜索引擎对于Https更加友好,加上互联网上越来越多的人重视隐私安全,站长们给网站添加SSL证书 ...

  2. 如何在 CentOS 7 上生成 SSL 证书为 Nginx 加密

    本文首发:开发指南:如何在 CentOS 7 上安装 Nginx Let’s Encrypt 是由 Internet Security Research Group (ISRG) 开发的一个自由.自动 ...

  3. Cert Manager 申请 SSL 证书流程及相关概念 - 一

    2022.3.9 用 cert-manager 申请成功通配符证书 (*.ewhisper.cn), 2022.4.30 该证书距离过期还有 30 天,cert-manager 进行自动续期,但是却失 ...

  4. 阿里云负载均衡SSL证书配置(更新)

    阿里云负载均衡及应用防火墙SSL证书配置 转载请注明地址:http://www.cnblogs.com/funnyzpc/p/8908461.html 好久了呢,距上篇博客的这段时间中:考试.搬家.工 ...

  5. letsencrypt 免费SSL证书申请, 自动更新

    Let's Encrypt 泛域名 证书申请 及自动更新 关键字:SSL证书.HTTPS 初次申请 1. 下载certbot wget https://dl.eff.org/certbot-auto ...

  6. Vmware Horizon 服务器替换 ssl 证书

    先申请好证书,如通配符SSL证书 *.centaline.com.cn ,公网的证书供应商会给到3个文件:centaline.com.cn.crt .centaline.com.cn.csr.cent ...

  7. 从SDN鼻祖Nicira到VMware NSX 网络虚拟化平台的简单探讨

    以前的大二层技术,一般是在物理网络底层使用IS-IS路由技术,再在此基础之上,实现数据中心网络的二层扩展,如公有的Trill.SPB技术和Cisco私有的OTV.Fabricpath技术:前沿一些的网 ...

  8. VMware Component Manager服务无法启动

    近日,给一台Windows 2016上的vCenter打补丁,系统重启后,发现vmware的很多服务无法启动了.这是一台老版本的vcenter,虽然已经2021年了,但是它还管理着一些很老的ESX,比 ...

  9. 添加自签发的 SSL 证书为受信任的根证书

    原文:http://cnzhx.net/blog/self-signed-certificate-as-trusted-root-ca-in-windows/ 添加自签发的 SSL 证书为受信任的根证 ...

  10. StartCom 申请 SSL 证书及 Nginx HTTPS 支持配置全攻略

    来源:https://www.williamyao.com/index.php/archives/1397/ 前言 最近收到 StartCom 的邮件,数字证书即将过期,想到去年在 StartSSL ...

随机推荐

  1. autMan奥特曼机器人-青龙运行结果推送到autMan

    一.使用到的autMan云插件为"青龙推送autMan"或"JD未来活动定时运行" 二选一即可,两都不可同时安装,有冲突 青龙推送autMan:这个插件仅用于将 ...

  2. DataX - [03] 使用案例

    题记部分 001 || mysql2hdfs (1)查看MySQL被迁移的数据情况 (2)根据需求确定reader为mysqlreader,writer为hdfswriter 查看reader和wri ...

  3. ABC391D题解

    前置知识: map priority_queue 思路 考虑预处理每一个图块在第几秒后会被删除. 如何预处理?我使用了一种非常暴力的做法,首先处理的过程肯定是从下往上的,于是每一个图块能被删除一定是它 ...

  4. 【面试题】实现 queryParse 函数,完成解析 URL 参数的功能

    问题:实现 queryParse 函数,完成解析 URL 参数的功能 /** * 问题:实现 queryParse 函数,完成解析 URL 参数的功能 * * 用法: * ```js * const ...

  5. FastAPI测试策略:参数解析单元测试

    扫描二维码关注或者微信搜一搜:编程智域 前端至全栈交流与成长 探索数千个预构建的 AI 应用,开启你的下一个伟大创意 第一章:核心测试方法论 1.1 三层测试体系架构 # 第一层:模型级测试 def ...

  6. numpy -- 处理数值型数据 -- 数据分析三剑客

    博客地址:https://www.cnblogs.com/zylyehuo/ NumPy(Numerical Python) 是 Python 语言中做科学计算的基础库.重在于数值计算,也是大部分Py ...

  7. 使用`forEach`方法前后的代码逐步简化过程

    简化前的完整循环代码 首先,我们使用传统的for-each循环遍历HashMap: import java.util.HashMap; import java.util.Map; public cla ...

  8. 阿里云ECS安装 CoreOS

    没事重装了下阿里云的ECS,无意发现竟然有了 CoreOS 的选项,有点小激动,于是乎,果断选择安装尝试了下. 阿里云ECS安装 CoreOS 其他阿里云注册啥的就不多说了,来个主要的图说明下: 题外 ...

  9. Visual Studio 自定义项目模版

    以 Visual Studio 2017 为例. 在 Visual Studio 中用户项目模版就是我们俗称的自定义项目模版. 用户项目模版位置 在Visual Studio中打开[工具-选项-项目和 ...

  10. Quartz.NET - 教程 2: 作业和触发器

    译者注: 目录在这 Quartz.NET 3.x 教程 原文在这 Lesson 2: Jobs And Triggers Quartz API Quartz API 的主要接口和类如下: ISched ...