A hálózati vezérlő kiszolgáló tanúsítványának frissítéseUpdate the network controller server certificate

Fontos

A Virtual Machine Manager (VMM) ezen verziója elérte a támogatás végét, javasoljuk, hogy frissítsen a VMM 2019-re.This version of Virtual Machine Manager (VMM) has reached the end of support, we recommend you to upgrade to VMM 2019.

A hálózati vezérlő (NC) tanúsítvány használatával irányú a REST-ügyfelekkel való kommunikációt (például VMM), és irányú a Hyper-V-gazdagépekkel és a szoftveres terheléselosztó szolgáltatásokkal folytatott kommunikációt.Network controller (NC) uses a certificate for Northbound communication with REST clients (such as VMM) and Southbound communication with Hyper-V hosts and software load balancers.

A tanúsítvány a következő helyzetekben módosítható vagy frissíthető az NC üzembe helyezése után.You can change or update this certificate in the following scenarios, after you deploy the NC.

  • A tanúsítvány lejártThe certificate has expired

  • Egy önaláírt tanúsítványról egy hitelesítésszolgáltató (CA) által kiállított tanúsítványra kíván áthelyezni.You want to move from a self-signed certificate to a certificate that is issued by a certificate authority (CA).

    Megjegyzés

    Ha ugyanazzal a kulccsal újítja meg a meglévő tanúsítványt, akkor ezek a lépések nem szükségesek.If you renew the existing certificate with the same key, these steps are not required.

ElőkészületekBefore you start

Győződjön meg arról, hogy létrehoz egy új SSL-tanúsítványt a meglévő hálózati vezérlő REST-nevével.Make sure you create a new SSL certificate with existing network controller's REST name. További információ.Learn more.

A kiszolgálói tanúsítvány frissítéseUpdate the server certificate

  1. Ha a tanúsítvány önaláírt, tegye a következőket:If the certificate is self-signed, do the following:

    • Titkos kulccsal rendelkező tanúsítvány – exportálja a tanúsítványt, és importálja a saját tároló összes NC csomópontján.Certificate with private key - Export the certificate and import it on all the NC nodes' My store.
    • Titkos kulcs nélküli tanúsítvány – exportálja a tanúsítványt, és importálja azt az összes NC csomópont gyökérszintű tárolójába.Certificate without a private key - Export the certificate and import it on all the NC nodes' Root store.
  2. Ha a tanúsítvány egy HITELESÍTÉSSZOLGÁLTATÓ által kiállított tanúsítvány, akkor importálja az összes hálózati vezérlő csomópont saját tárolójában.If the certificate is a CA issued certificate, import it in all network controller nodes' My store.

    Megjegyzés

    Ne távolítsa el az aktuális tanúsítványt az NC-csomópontokból.DO NOT remove the current certificate from the NC nodes. A meglévő tanúsítvány eltávolítása előtt érvényesítse a frissített tanúsítványt.You should validate the updated certificate before you remove the existing one. A tanúsítvány frissítéséhez folytassa a további lépéseket.Proceed with rest of the steps to update the certificate.

  3. Frissítse a kiszolgálói tanúsítványt a következő PowerShell-parancs végrehajtásával az egyik NC-csomóponton.Update the server certificate by executing the following PowerShell command on one of the NC nodes.

    
    $certificate = Get-ChildItem -Path Cert:\LocalMachine\My | Where {$_.Thumbprint -eq “Thumbprint of new certificate”}
    Set-NetworkController -ServerCertificate $certificate
    
  4. Frissítse az NC-ben tárolt hitelesítő adatok titkosításához használt tanúsítványt úgy, hogy az egyik NC-csomóponton végrehajtja a következő parancsot.Update the certificate used for encrypting the credentials stored in the NC by executing the following command on one of the NC nodes.

    
    $certificate = Get-ChildItem -Path Cert:\LocalMachine\My | Where {$_.Thumbprint -eq “Thumbprint of new certificate”}
    Set-NetworkControllerCluster -CredentialEncryptionCertificate $certificate
    
  5. A kiszolgáló REST-erőforrásának lekéréséhez futtassa az alábbi PowerShell-parancsot az egyik NC-csomóponton.Retrieve a server REST resource by executing the following PowerShell command on one of the NC nodes.

    
    Get-NetworkControllerServer -ConnectionUri <REST uri of your deployment>
    
  6. A kiszolgáló REST-erőforrásban navigáljon a hitelesítő adatok objektumhoz, és győződjön meg arról, hogy a x509 típusú hitelesítő adatok a tanúsítvány ujjlenyomatának megfelelő értékkel rendelkeznek.In the Server REST resource, navigate to the Credentials object and check the credential of type X509Certificate with a value matching your certificate's thumbprint. Jegyezze fel a hitelesítő adat erőforrás-AZONOSÍTÓját.Note the credential resource ID.

    
    "Connections":
    {
       {
          "ManagementAddresses":[ “contoso.com" ],                  
          "CredentialType":  "X509Certificate",
          "Protocol":  null,
          "Port":  null,
          "Credential": {
                            "Tags":  null,
                            "ResourceRef":  "/credentials/<credential resource Id>,
                            "InstanceId":  "00000000-0000-0000-0000-000000000000",
                            …
                            …
                         }
        }   
    }
    
  7. Frissítse a fent lekért x509 típusú hitelesítő adatok Rest-erőforrását az új tanúsítvány ujjlenyomatával.Update the credential REST resource of type X509Certificate retrieved above with the thumbprint of the new certificate.

    Hajtsa végre ezeket a PowerShell-parancsmagokat bármelyik NC-csomóponton.Execute these PowerShell cmdlet on any of the NC Node.

    
    $cred=New-Object Microsoft.Windows.Networkcontroller.credentialproperties
    $cred.type="X509Certificate"
    $cred.username=""
    $cred.value="<thumbprint of the new certificate>"
    New-NetworkControllerCredential -ConnectionUri <REST uri of the deployment> -ResourceId <credential resource Id> -Properties
    $cred
    
  8. Ha az új tanúsítvány önaláírt tanúsítvány, akkor a Hyper-V-gazdagépek és a szoftveres terheléselosztó MUX virtuális gépek megbízható főtanúsítvány-tárolójában hozzon létre egy tanúsítványt (a titkos kulcs nélkül).If the new certificate is a self-signed certificate, provision the certificate (without the private key) in the trusted root certificate store of all the Hyper-V hosts and software load balancer MUX virtual machines.

  9. A következő PowerShell-parancsmaggal hozzon létre egy, a titkos kulcsot nem használó NC-tanúsítványt a VMM-gép megbízható legfelső szintű tanúsítványtárolójában:Provision the NC certificate (without the private key) in the trusted root certificate store of the VMM machine using the following PowerShell cmdlet:

    $certificate = Get-SCCertificate -ComputerName "NCRestName"
    $networkservice = Get-SCNetworkService | Where {$_.IsNetworkController -eq $true}
    Set-SCNetworkService -ProvisionSelfSignedCertificatesforNetworkService $true -Certificate
    $certificate -NetworkService $networkservice
    
    • A NetworkService a hálózati vezérlő szolgáltatás, a tanúsítvány az új NC-kiszolgáló tanúsítványa.NetworkService is the network controller service, Certificate is the new NC server certificate.
    • Ha önaláírt tanúsítványt szeretne frissíteni, a ProvisionSelfSignedCertificatesforNetworkService $true .ProvisionSelfSignedCertificatesforNetworkService is $true if you are updating to a self-signed certificate.
  10. Ellenőrizze, hogy a kapcsolat megfelelően működik-e a frissített tanúsítvánnyal.Verify that the connectivity is working fine with the updated certificate.

    Most már eltávolíthatja az előző tanúsítványt az NC-csomópontokból.You can now remove the previous certificate from the NC nodes.

    Következő lépésekNext steps

    Ellenőrizze az NC-telepítést , hogy az üzembe helyezés sikeres legyen.Validate the NC deployment to ensure that the deployment is successful.