安装配置CA激活NSX-T证书
一、安装配置证书颁发机构
前提:Active Directory 证书服务需要安装在Windows Server2016或者2019的版本上(其他版本未做测试)并且计算机需要加入到域。如果不具备相应环境请参考NSX自签名证书的方式添加证书。
1.安装证书服务
打开服务器管理器并点击右上角管理菜单中的添加角色和功能,按照如下示例完成证书颁发机构和证书颁发机构Web注册两项角色的安装。
2.配置证书颁发机构
注意:请勿选择SHA1哈希算法,因为NSX-T3.x中不支持该算法!
根据安全要求设置CA证书有效期,推荐设置为5年
3.配置NSX证书模板
打开服务器管理器,打开右上角工具菜单>证书颁发机构
选择证书模板右键点击管理
找到Web服务器证书模板,右键选择复制模板
配置兼容性设置
常规选项卡更改模板名称及证书有效期
扩展选项卡中选中基本约束点击编辑,勾选启用此扩展,配置完成后确定退出
关闭窗口返回证书颁发机构
选中证书模板右键点击新建>要颁发的证书模板
打开的窗口中选中刚才创建的模板并点击确定
至此完成了证书服务的安装配置以及NSX证书模板的添加。
二、申请证书
1.生成证书签名请求文件
创建.cnf文件
首先为每个管理节点以及管理集群VIP创建.cnf文件通过OpenSSL基于.cnf文件生成相应的CSR文件,后续使用CSR文件向证书颁发机构申请相应的证书并导入到NSX Manager中完成替换。
示例:NSX管理节点一(nsxmgr01.cnf)
[ req ]default_bits = 2048distinguished_name = req_distinguished_namereq_extensions = req_extprompt = no[ req_distinguished_name ]countryName = 填写国家stateOrProvinceName = 填写 州或省名称localityName = 填写地区organizationName = 填写组织机构commonName = NSX-Manager01[ req_ext ]subjectAltName = @alt_names[alt_names]DNS.1 = NSX-Manager01
示例:NSX管理节点二(nsxmgr02.cnf)
[ req ]
default_bits = 2048distinguished_name = req_distinguished_namereq_extensions = req_extprompt = no[ req_distinguished_name ]countryName = 填写国家stateOrProvinceName = 填写 州或省名称localityName = 填写地区organizationName = 填写组织机构commonName = NSX-Manager02[ req_ext ]subjectAltName = @alt_names[alt_names]DNS.1 = NSX-Manager02
示例:NSX管理节点三(nsxmgr03.cnf)
[ req ]
default_bits = 2048distinguished_name = req_distinguished_namereq_extensions = req_extprompt = no[ req_distinguished_name ]countryName = 填写国家stateOrProvinceName = 填写 州或省名称localityName = 填写地区organizationName = 填写组织机构commonName = NSX-Manager03[ req_ext ]subjectAltName = @alt_names[alt_names]DNS.1 = NSX-Manager03
示例:NSX管理集群VIP(nsxmgr.cnf)
[ req ]default_bits = 2048distinguished_name = req_distinguished_namereq_extensions = req_extprompt = no[ req_distinguished_name ]countryName = 填写国家stateOrProvinceName = 填写 州或省名称localityName = 填写地区organizationName = 填写组织机构commonName = NSX-Manager[ req_ext ]subjectAltName = @alt_names[alt_names]DNS.1 = NSX-Manager
生成.csr证书请求文件及密钥
将.cnf文件上传至任意管理节点,使用OpenSSL对应.cnf文件生成.csr和.key文件
示例:
openssl req -nodes -newkey rsa:2048 -keyout nsxmgr01.key -config nsxmgr01.cnf -out nsxmgr01.csropenssl req -nodes -newkey rsa:2048 -keyout nsxmgr02.key -config nsxmgr02.cnf -out nsxmgr02.csropenssl req -nodes -newkey rsa:2048 -keyout nsxmgr03.key -config nsxmgr03.cnf -out nsxmgr03.csropenssl req -nodes -newkey rsa:2048 -keyout nsxmgr.key -config nsxmgr.cnf -out nsxmgr.csr
2.申请证书文件
使用浏览器登录到CA Web注册页面http://<ip>/certsrv/
点击下载 CA 证书、证书链或 CRL
选中Base64编码并点击下载CA证书
将下载好的CA证书保存待稍后使用
返回首页点击申请证书 >高级证书申请
将.scsr文件中的内容粘贴至保存的请求文本框中,证书模板选择之前创建的NSX证书模板后点击提交申请
选择Base 64 编码并点击下载证书
此时将得到一个.cer证书文件,重复相同步骤分别申请并下载对应的其他证书文件,注意使用对应的文件名重命名下载的证书文件以便区分
三、替换NSX证书
1.导入证书
从浏览器中,使用管理员特权登录到 NSX Manager,网址为 https://<nsx-manager-ip-address>,打开系统>设置>证书页面
首先导入CA根证书
点击导入>导入CA证书
输入CA根证书的名称,将直线下载的CA证书内容复制到证书内容文本框或者点击浏览打开并上传CA证书文件
关闭服务证书并单击导入按钮
依次分别导入三个NSX-T管理节点和管理集群VIP证书
点击导入>导入证书
注意!证书内容:按以下顺序填入完整的证书链:
—–BEGIN CERTIFICATE—–NSX-T Manager/Node cert—–END CERTIFICATE—–—–BEGIN CERTIFICATE—–Root CA Cert—–END CERTIFICATE—–
证书服务:否
重复上述步骤分别导入三个NSX-T管理节点及管理集群VIP证书,证书导入完成请在证书列表中检查确认。
2.替换(激活)证书
参考: VMware NSX-T Data Center 产品文档中的替换证书章节
新的证书上传至NSX-T Manager后需要借助 REST API 来完成替换和激活新的证书
获取证书ID:
从浏览器中,使用管理员特权登录到 NSX Manager,在证书页面,证书列表中对应需要激活的证书点击ID单元格可查看到完整的证书ID
证书的替换可以使用Curl(API)调试工具或者以root用户登录到管理节点运行命令发送POST请求来完成
替换之前可通过进行以下 API 调用来验证证书是否有效:
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>?action=validate
替换管理节点证书:
curl -k -u <user>:<password> -X POST "https://<nsxt-fqdn>/api/v1/node/services/http?action=apply_certificate&certificate_id=<certificate-id>"
替换管理集群VIP证书:
curl -k -u <user>:<password> -X POST "https://<NSX_Manager>/api/v1/cluster/api-certificate?action=set_cluster_certificate&certificate_id=<certificate-id>"
要替换 NSX 联合的主体身份证书(暨LOCAL_MANAGER证书),请使用以下 API 调用:POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation。
例如:
POST https://<nsx-mgr>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation{ "cert_id": "<id>","service_type": "LOCAL_MANAGER" }
以自签名方式替换NSX-T证书请参考连接:
安装配置CA激活NSX-T证书相关推荐
- Web安全1.3:Arachni扫描器安装、Burpsuit激活及https证书的导入
文章目录 Web安全1.3:Arachni扫描器安装.使用+Burpsuit激活及https证书的导入 一.Arachni 扫描器安装.使用: 1.下载Arachni包: 2.解包: 3.运行 ara ...
- 按规划安装配置DNS及NSX Advanced Load Balance(AVI)
NSX ALB + Harbor + OpenShift 4.8 UPI安装配置实验笔记系列目录 目录 1 NSXALB Loadbalance配置 1.1 为ocp集群新建SE Group 1.2 ...
- 定制智慧交通(二)--抓取封包软件charles安装配置以及激活
在pc端我们可以打开wireshark抓包分析,如果是浏览器的话直接F12跟方便.但是手机怎么搞呢,通过万能的搜索引擎,看到很多人推荐charles. 下来一个搞一搞,这里不赘述安装,参考 http: ...
- phpstrom安装,配置,激活教程,以及使用lanyu的激活码,报错1653219,解决办法
q 1.下载安装文件 https://www.jetbrains.com/phpstorm/?fromMenu 2.安装下载的.exe文件,视情况而定配置 笔者是PhpStorm20190102 3. ...
- 服务器证书安装配置指南(Nginx)-天威诚信
服务器证书安装配置指南(Nginx) 一.生成证书请求 您需要使用CSR生成工具来创建证书请求. 1.下载AutoCSR: http://www.itrus.cn/soft/autocsr. ...
- SSL证书安装配置指南(SM2证书)
一.生成证书请求 *密钥文件不区分操作系统平台,推荐使用CIM客户端工具. 运行CIM客户端,点击工具箱,点击CSR生成,然后填写您的证书注册信息,点击生成,然后下拉至底部,点击保存CSR和私钥.请确 ...
- SSL证书安装配置指南(Nginx)
一.生成证书请求 *密钥文件不区分操作系统平台,推荐使用CIM客户端工具. 运行CIM客户端,点击工具箱,点击CSR生成,然后填写证书注册信息,点击生成,然后下拉至底部,点击保存CSR和私钥.请确保您 ...
- NSX ALB + Harbor + OpenShift 4.8 UPI安装配置实验笔记系列目录
系列文章目录 1. OpenShift集群规划 2. 本地Image Registry Harbor安装 3. 按规划安装配置DNS及NSX Advanced Load Balance(AVI) 4. ...
- 一加9pro安装配置charles(mac下)及手机配置ca证书
一加9pro安装配置charles(mac下) 搞了好久才安装成功 以下是简略配置过程(具体安装可参考其他文章,仅记录本人遇到的问题--手机安装ca证书) 安装charles mac安装charles ...
最新文章
- 计图(Jittor) 1.1版本:新增骨干网络、JIT功能升级、支持多卡训练
- Codeforces698B【并查集+拆环】
- anaconda更新python版本mac_macos - 如何使用conda升级到Python 3.6?
- java中解密技术是什么_详解Java 加密解密技术的分类和归纳
- mongodb数据可视化_使用MongoDB实时可视化开放数据
- 不同浏览器对回车提交表单的处理办法(转载)
- ES6学习笔记01:Symbol数据类型
- 数据分析学习笔记—python面向对象与模块
- CentOS 6.5 64位 安装zabbix-2.2.0
- js基础---字符串方法
- JUC与JVM并发编程学习笔记01
- 浅谈如何设计MySQL索引
- Pytorch深度学习(二):反馈神经网络(BPNN)
- cnplaza照片打印管理 【即影即有软件】
- STM32单片机OLED经典2048游戏单片机小游戏
- Spring boot整合Drools、flowable决策引擎解决方案
- 《数学之美》读后感:看数学之美,悟技术之道
- VBA代码实例---Msgbox函数及应用实例
- 苹果x用安兔兔测试html5,安兔兔跑分23万,苹果iPhone X怎么样?
- Linux shell:脚本编写快速入门
热门文章
- 服务器备用电源的原理,什么是备用电源_备用电源工作原理_备用电源作用-与非网...
- 劳动合同到期,公司提出不续签怎么办?
- 基于虚拟机的黑群晖NAS+基于虚拟局域网的远程访问
- 菜鸟|Egret微信小游戏好友排行榜教程
- MATLAB算法实战应用案例精讲-【自动驾驶】线控制动
- 24. 项目管理成熟度模型CMM
- 彻底卸载Visual Studio2013、15、17方法
- [推荐]全球最牛杀毒软件----MCAFEE8.5i最新版下载!
- ASDL用户端设备(无线猫)配置及各种设置综合
- AD20和立创EDA设计(5)立创EDA导出3D模型放入AD20使用