Aktualizace certifikátu serveru síťového adaptéru

Důležité

Tato verze nástroje Virtual Machine Manager (VMM) dosáhla konce podpory. Doporučujeme upgradovat na VMM 2022.

Síťový adaptér (NC) používá certifikát pro komunikaci Northbound s klienty REST, jako je VMM, a southbound komunikaci s hostiteli Hyper-V a nástroji pro vyrovnávání zatížení softwaru.

Po nasazení síťového adaptéru můžete tento certifikát změnit nebo aktualizovat v následujících scénářích.

• Platnost certifikátu vypršela.

• Chcete přejít z certifikátu podepsaného svým držitelem na certifikát vydaný certifikační autoritou (CA).

  Poznámka

  Pokud stávající certifikát prodloužíte se stejným klíčem, tyto kroky se nevyžadují.

Než začnete

Ujistěte se, že jste vytvořili nový certifikát SSL s názvem REST existujícího síťového adaptéru. Další informace.

Aktualizace certifikátu serveru

1. Pokud je certifikát podepsaný svým držitelem, postupujte takto:

   • Certifikát s privátním klíčem – Exportujte certifikát a importujte ho do úložiště My všech uzlů NC.
   • Certifikát bez privátního klíče – Exportujte certifikát a importujte ho do kořenového úložiště všech uzlů NC.

2. Pokud se jedná o certifikát vydaný certifikační autoritou, naimportujte ho do úložiště Moje všechny uzly síťového adaptéru.

   Poznámka

   NEODEBÍLEJTE aktuální certifikát z uzlů síťového adaptéru. Před odebráním existujícího certifikátu byste měli aktualizovaný certifikát ověřit. Pokračujte ve zbývajících krocích aktualizace certifikátu.

3. Aktualizujte certifikát serveru spuštěním následujícího příkazu PowerShellu na jednom z uzlů síťového adaptéru.

   
   $certificate = Get-ChildItem -Path Cert:\LocalMachine\My | Where {$_.Thumbprint -eq “Thumbprint of new certificate”}
   Set-NetworkController -ServerCertificate $certificate
   

4. Aktualizujte certifikát použitý k šifrování přihlašovacích údajů uložených v síťovém adaptéru spuštěním následujícího příkazu na jednom z uzlů síťového adaptéru.

   
   $certificate = Get-ChildItem -Path Cert:\LocalMachine\My | Where {$_.Thumbprint -eq “Thumbprint of new certificate”}
   Set-NetworkControllerCluster -CredentialEncryptionCertificate $certificate
   

5. Načtěte prostředek REST serveru spuštěním následujícího příkazu PowerShellu na jednom z uzlů síťového adaptéru.

   
   Get-NetworkControllerServer -ConnectionUri <REST uri of your deployment>
   

6. V prostředku REST serveru přejděte k objektu Credentials a zkontrolujte přihlašovací údaje typu X509Certificate s hodnotou odpovídající kryptografickému otisku vašeho certifikátu. Poznamenejte si ID prostředku přihlašovacích údajů.

   
   "Connections":
   {
      {
         "ManagementAddresses":[ “contoso.com" ],                  
         "CredentialType":  "X509Certificate",
         "Protocol":  null,
         "Port":  null,
         "Credential": {
                           "Tags":  null,
                           "ResourceRef":  "/credentials/<credential resource Id>,
                           "InstanceId":  "00000000-0000-0000-0000-000000000000",
                           …
                           …
                        }
       }   
   }
   

7. Aktualizujte prostředek REST přihlašovacích údajů typu X509Certificate načtený výše kryptografickým otiskem nového certifikátu.

   Spusťte tuto rutinu PowerShellu na libovolném uzlu síťového adaptéru.

   
   $cred=New-Object Microsoft.Windows.Networkcontroller.credentialproperties
   $cred.type="X509Certificate"
   $cred.username=""
   $cred.value="<thumbprint of the new certificate>"
   New-NetworkControllerCredential -ConnectionUri <REST uri of the deployment> -ResourceId <credential resource Id> -Properties
   $cred
   

8. Pokud je novým certifikátem certifikát podepsaný svým držitelem, zřiďte certifikát (bez privátního klíče) v úložišti důvěryhodných kořenových certifikátů všech hostitelů Hyper-V a virtuálních počítačů nástroje pro vyrovnávání zatížení softwaru MUX.

9. Pomocí následující rutiny PowerShellu zřiďte certifikát síťového adaptéru (bez privátního klíče) v úložišti důvěryhodných kořenových certifikátů počítače VMM:

   $certificate = Get-SCCertificate -ComputerName "NCRestName"
   $networkservice = Get-SCNetworkService | Where {$_.IsNetworkController -eq $true}
   Set-SCNetworkService -ProvisionSelfSignedCertificatesforNetworkService $true -Certificate
   $certificate -NetworkService $networkservice
   

   • NetworkService je služba síťového adaptéru, certifikát je nový certifikát serveru NC.
   • ProvisionSelfSignedCertificatesforNetworkService je $true , pokud aktualizujete na certifikát podepsaný svým držitelem.

10. Ověřte, že připojení s aktualizovaným certifikátem funguje správně.

    Z uzlů síťového adaptéru teď můžete odebrat předchozí certifikát.

    Další kroky

    Ověřte nasazení síťového adaptéru a ujistěte se, že je nasazení úspěšné.