Remplacer le certificat SSL de NSX-T

NSX-T Data Center utilise des certificats auto-signés pour ses nœuds de cluster et de gestionnaire ; cependant, il est recommandé de remplacer les certificats auto-signés par des certificats signés par une autorité de certification pour améliorer la sécurité.

Dans cet article, nous passons en revue l l’application du nouveau certificat à votre cluster NSX-T et à vos nœuds. Je ne développerais pas la partie création du certificat.

Importer une chaîne de certificats

nous devons créer notre chaîne de certificats en combinant le CSR et notre autorité de certification racine dans le format ci-dessous. J’utilise Notepad++ pour créer la chaîne de certificats.

-----BEGIN CERTIFICATE-----
SERVER CERTIFICATE
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
INTERMEDIATE CERTIFICATE (IF YOU HAVE ONE)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
ROOT CERTIFICATE
-----END CERTIFICATE-----

Une fois la chaîne de certificats créée, connectez-vous à NSX-T, accédez à Système > Certificats et sélectionnez Importer > Importer un certificat.

Ensuite, donnez au certificat un nom approprié et attribuez la chaîne de certificats et la clé privée. Comme nous utiliserons le certificat pour fournir la fonctionnalité SSL lors de l’accès à notre environnement NSX-T (et non pour l’équilibrage de charge ou les services VPN, par exemple), définissez le certificat de service sur Non. Lorsque vous êtes prêt, cliquez sur Importer.

Une fois l’importation terminée, identifiez l’ID du certificat en cliquant sur l’extrait d’ID. Copiez l’ID du certificat car nous en aurons besoin dans une étape ultérieure.

Validation du certificat

Avant d’essayer de remplacer les certificats de nœud NSX-T Cluster et Manager, il serait utile de valider notre nouveau certificat.

À l’aide de l’ID de certificat que nous avons identifié précédemment, exécutez l’appel d’API ci-dessous pour valider le certificat.

GET https://<NSX-T-FQDN>/api/v1/trust-management/certificates/<CERTIFICATE-ID>?action=validate

Remplacer les certificats

Pour les nœuds NSX-T Manager, exécutez l’appel d’API ci-dessous pour CHAQUE nœud NSX-T Manager

POST https://<NSX-T-MANAGER-FQDN>/api/v1/node/services/http?action=apply_certificate&certificate_id=<CERTIFICATE-ID>

Enfin, accédez à votre nœud VIP NSX-T Manager ou NSX-T Manager et vérifiez que le nouveau certificat a été appliqué avec succès.

Posted in NSX