PKS部署难点：NSX Manager API证书

部署环境：

NSX Manager默认包括一个自签名API证书，该证书主题和颁发者为主机名。Ops Manager要求严格的证书验证，并要求自签名证书的使用者和颁发者是NSX Manager的IP地址或FQDN。因此，我们需要使用subject和issuer字段中NSX Manager的fqdn重新生成自签名证书，然后使用NSX API向NSX Manager注册该证书。
在OPS Mamagerp部署完成（OVA导入）以后，进入PKS的部署，第一步要完成与vCenter和NSX-T的配置。
在NSX-T的配置中需要输入NSX Manager API证书。

选择可访问OPS-Man的Linux主机，本次使用CentOS 7.6。
创建文件nsx-cert.cnf，NSX-MANAGER-COMMONNAME和NSX-MANAGER-IP-ADDRESS替换成NSX Manager的fqdn和ip，内容如下。

[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no
[ req_distinguished_name ]
countryName = CN
stateOrProvinceName = SHA
localityName = SHA
organizationName = NSX
commonName = NSX-MANAGER-COMMONNAME
[ req_ext ]
subjectAltName = @alt_names
[alt_names]
DNS.1 = NSX-MANAGER-COMMONNAME,NSX-MANAGER-IP-ADDRESS

设置环境变量
本实验使用NSX MANGER地址为192.168.1.41；fqdn：nsxmgr-01a.vmlab.local

$ export NSX_MANAGER_IP_ADDRESS=192.168.1.41
$ export NSX_MANAGER_COMMONNAME=nsxmgr-01a.vmlab.local

使用OpenSSL创建证书，引用第1步设立的nsx-cert.cnf文件，生成nsx.crt和nsx.key

$ openssl req -newkey rsa:2048 -x509 -nodes \
-keyout nsx.key -new -out nsx.crt -subj /CN=$NSX_MANAGER_COMMONNAME \
-reqexts SAN -extensions SAN -config <(cat ./nsx-cert.cnf \<(printf "[SAN]\nsubjectAltName=DNS:$NSX_MANAGER_COMMONNAME,IP:$NSX_MANAGER_IP_ADDRESS")) -sha256 -days 365

验证证书

$ openssl x509 -in nsx.crt -text -noout

导入证书到NSX manager
a. 登录NSX manager UI，找到系统 > 信任 > 证书，点击导入 > 导入证书。（注意不是导入CA证书）

b. 输入证书名称，导入第3步生成的证书和私钥内容（nsx.crt和nsx.key），点击导入。

c.完成过程后，刷新NSX Manager的浏览器会话并查看新证书，记录其ID。如下图所示
使用以下命令到NSX Manager注册证书，CERTIFICATE-ID为第5步c中记录。

export NSX_MANAGER_IP_ADDRESS=NSX-MANAGER-IP-ADDRESS
export CERTIFICATE_ID="CERTIFICATE-ID"
curl --insecure -u admin:'ADMIN-PASSWORD' -X \
POST "https://$NSX_MANAGER_IP_ADDRESS/api/v1/node/services/http?action=apply_certificate&certificate_id=$CERTIFICATE_ID"

回到Linux主机，使用如下命令得到API证书，-----BEGIN CERTIFICATE-----和-----END CERTIFICATE-----中间内容。

openssl s_client -host nsxmgr-01a.vmlab.local -port 443 -prexit -showcerts

[yizhao@localhost nsxcrt]$ openssl s_client -host nsxmgr-01a.vmlab.local -port 443 -prexit -showcerts
CONNECTED(00000003)
depth=0 C = CN, ST = SHA, L = SHA, O = NSX, CN = nsxmgr-01a.vmlab.local
verify error:num=18:self signed certificate
verify return:1
depth=0 C = CN, ST = SHA, L = SHA, O = NSX, CN = nsxmgr-01a.vmlab.local
verify return:1
---
Certificate chain0 s:/C=CN/ST=SHA/L=SHA/O=NSX/CN=nsxmgr-01a.vmlab.locali:/C=CN/ST=SHA/L=SHA/O=NSX/CN=nsxmgr-01a.vmlab.local
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

参考文档：

https://docs.pivotal.io/runtimes/pks/1-2/generate-nsx-ca-cert.html#generate-self-signed-certificate

#Pivotal官方文档

https://github.com/CNA-Tech/PKS-Ninja/tree/master/LabGuides/PksInstallPhase1-IN3138

#VMware Github实验资料

PKS部署难点：NSX Manager API证书相关推荐

VMware NSX系列教程-部署NSX Manager(转）
一.环境说明虚拟化软件:vsphere 6.0 u2 NSX 软件:NSX 6.2.2 名词解释: VXLAN:可以跨多个集群间主机通信问题,类似大二层交换机. 分段 ID:类似 VLAN 信息,跟 ...
How to Configure centralized logging for the NSX Manager 6.x.x, NSX Controllers and NSX Edge devices
How to Configure centralized logging for the NSX Manager 6.x.x, NSX Controllers and NSX Edge devices ...
微信公众号发红包需要的API证书是什么，如何获取API证书？
原文地址:什么是API证书?如何获取API证书? 什么是API证书?如何获取API证书? 一.什么是API证书 1.技术开发人员在调用微信支付安全级别较高的接口(如:退款.企业红包.企业付款)时,会使 ...
NSX-T 系列：第 4 部分 - 配置NSX Manager集群
1.介绍组成 NSX Manager 或全局管理器集群可以提供高可用性和可靠性.仅在 vCenter Server 管理的 ESXi 主机上支持使用 UI 部署节点. 从 UI 中部署新节点时,该节 ...
SQL Server数据库镜像部署错误1418’处理及证书验证
SQL Server数据库镜像部署 '数据库镜像'是SQLServer数据库功能最强的一种热备份方法,也是环境要求最高的一种.其配置环节比较麻烦,本人新手研究了三天,中途遇到了许多问题,希望其他第一次 ...
微信商户号 API 密钥、API 证书配置
一个全新的商户号如何生成 API 密钥.API 证书的操作教程商户号关联小程序是为了在小程序中能够使用商户号进行微信支付, 关联公众号亦如此只是使用商户号的支付功能可以不配置 API 证书,因为 ...
JavaWeb项目部署服务器并配置ssl证书教程
JavaWeb项目部署服务器并配置ssl证书教程相信大家学了1.2年的编程后可能已经学会了自己写web项目,但是也只能在自己本地玩耍,十分的打击学习热情(主要是没办法跟朋友装杯).本文是一篇较为详细 ...
Asterisk manager API（AMI）文档(中文版)
Asterisk控制接口(AMI)允许管理客户端程序连接到一个asterisk实例并且可以通过TCP/IP流发送命令或读取事件.这在试图跟踪asterisk的状态或其中的电话客户端状态时很有用,AMI ...
微信支付商户API 证书的用途及生成API安全证书的方法（仅退款、撤销订单时需要）
微信支付服务商平台于2018年7月份悄然在[账户中心]的[API安全]中增加了一个"API 证书(权威CA颁发)"版块,由于和原来的"API证书"版块命名相似, ...

PKS部署难点：NSX Manager API证书

PKS部署难点：NSX Manager API证书相关推荐

最新文章

热门文章