展開環境:
NSXマネージャAPI、デフォルトでは自己署名証明書、証明書のサブジェクトと発行者のホスト名を含んでいます。オプスManagerの証明書の検証を要求し、自己署名証明書の利用者と発行者がのIPアドレスまたはFQDN NSXマネージャである必要があり。したがって、我々は、件名を使用する必要があると発行者は、FQDN再生成自己署名証明書のNSXマネージャーをフィールド、その後、登録NSX API NSXマネージャに証明書を使用します。
完了後PKSにOPS Mamagerp配備、配備中(OVAを導入)、および最初のステップは、vCenterとNSX-Tの構成を完了することです。
設定NSX-Tで証明書NSXマネージャAPIを入力します。
- CentOSの7.6を使用して、この時間をOPS-マンLinuxホストにアクセスすることを選択します。
ファイルNSX-cert.cnf、NSX-マネージャ-作成 COMMONNAMEをし、次のようにNSX-MANAGER-IP-ADDRESSは、FQDNとIP NSXマネージャー置き換えます。
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no
[ req_distinguished_name ]
countryName = CN
stateOrProvinceName = SHA
localityName = SHA
organizationName = NSX
commonName = NSX-MANAGER-COMMONNAME
[ req_ext ]
subjectAltName = @alt_names
[alt_names]
DNS.1 = NSX-MANAGER-COMMONNAME,NSX-MANAGER-IP-ADDRESS
- 環境変数を設定し
、この実験NSXマネージャアドレス192.168.1.41で使用し; FQDN:nsxmgr-01a.vmlab.local
$ export NSX_MANAGER_IP_ADDRESS=192.168.1.41
$ export NSX_MANAGER_COMMONNAME=nsxmgr-01a.vmlab.local
- nsx.crtとnsx.keyを生成するために、ステップ1で作成した証明書は、参照NSX-cert.cnfファイルを作成するためにOpenSSLを使用します
$ openssl req -newkey rsa:2048 -x509 -nodes \
-keyout nsx.key -new -out nsx.crt -subj /CN=$NSX_MANAGER_COMMONNAME \
-reqexts SAN -extensions SAN -config <(cat ./nsx-cert.cnf \
<(printf "[SAN]\nsubjectAltName=DNS:$NSX_MANAGER_COMMONNAME,IP:$NSX_MANAGER_IP_ADDRESS")) -sha256 -days 365
- 検証証明書
$ openssl x509 -in nsx.crt -text -noout
-
NSXへの証明書のインポートマネージャ
A.ログインNSXマネージャUI、システム>トラスト>証明書を見つけ、インポート]> [証明書のインポート]をクリックします。(CA証明書をインポートしていないことに注意してください)
、B。証明書の名前を入力し、輸入証明書と秘密鍵は3コンテンツ(nsx.crtとnsx.key)をステップ生成し、[インポート]をクリックします。
C。プロセスの完了後、ブラウザセッションNSXマネージャを更新して、新しい証明書を表示するために、自分のIDを記録します。図に示すように。
-
登録証明書、証明書IDに次のコマンドでNSXマネージャはステップ5 Cに記録されています。
export NSX_MANAGER_IP_ADDRESS=NSX-MANAGER-IP-ADDRESS
export CERTIFICATE_ID="CERTIFICATE-ID"
curl --insecure -u admin:'ADMIN-PASSWORD' -X \
POST "https://$NSX_MANAGER_IP_ADDRESS/api/v1/node/services/http?action=apply_certificate&certificate_id=$CERTIFICATE_ID"
- 戻るLinuxホストに、API証明書を取得するには、次のコマンドを使用し、----- CERTIFICATE ----- ----- END CERTIFICATE -----証明書と中間コンテンツを開始します。
openssl s_client -host nsxmgr-01a.vmlab.local -port 443 -prexit -showcerts
[yizhao@localhost nsxcrt]$ openssl s_client -host nsxmgr-01a.vmlab.local -port 443 -prexit -showcerts
CONNECTED(00000003)
depth=0 C = CN, ST = SHA, L = SHA, O = NSX, CN = nsxmgr-01a.vmlab.local
verify error:num=18:self signed certificate
verify return:1
depth=0 C = CN, ST = SHA, L = SHA, O = NSX, CN = nsxmgr-01a.vmlab.local
verify return:1
---
Certificate chain
0 s:/C=CN/ST=SHA/L=SHA/O=NSX/CN=nsxmgr-01a.vmlab.local
i:/C=CN/ST=SHA/L=SHA/O=NSX/CN=nsxmgr-01a.vmlab.local
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
参照文献:
https://docs.pivotal.io/runtimes/pks/1-2/generate-nsx-ca-cert.html#generate-self-signed-certificate
#Pivotal公式文書
https://github.com/CNA-Tech/PKS-Ninja/tree/master/LabGuides/PksInstallPhase1-IN3138
#VMware Githubの実験データ
