NSX Advanced Load Balancer 上的默认证书是自签名证书。本节介绍了如何在默认证书已过期或即将过期时替换该证书。也可以使用以下步骤将自签名证书替换为第三方签名证书。
必备条件
OpenSSL 1.1.x 或更高版本。
使用 NSX Advanced Load Balancer UI 进行配置
导航到,然后单击 System-Default-Cert 条目的导出图标(右侧)。
使用复制到剪贴板选项将数据从密钥和证书字段复制到两个新文件。将新文件分别命名为
system-default.key和system-default.cer。
使用 OpenSSL 进行配置
在 OpenSSL 中运行以下命令以检查证书的过期日期。
openssl x509 -in system-default.cer -noout -enddate
运行以下命令以生成具有
system-default.key的新 CSR。openssl req -new -key system-default.key -out system-default.csr
运行以下命令以生成具有新的过期日期的新证书。在该示例中,新证书命名为
system-default2.cer。openssl x509 -req -days 365 -in system-default.csr -signkey system-default.key -out system-default2.cer
验证新证书
(system-default2.cer)的过期日期。openssl x509 -in system-default2.cer -noout -enddate
使用 NSX Advanced Load Balancer CLI 和 UI 进行配置
将
system-default2.cer和system-default.key复制到控制器。可选步骤:在执行后续步骤之前,您可以停用任何配置为使用
System-Default-Cert的虚拟服务。登录到 CLI,然后执行以下命令以对 NSX Advanced Load Balancer 上的默认证书 (System-Default-Cert) 进行更改。
[admin:cntrl1]: > configure sslkeyandcertificate System-Default-Cert
执行 certificate 命令,然后按 Enter。运行 <path to system-default2.cer>/system-default2.cer 证书文件。输入 save 命令以保存更改。
[admin-cntrl1]: sslkeyandcertificate> certificate [admin-cntrl1]: sslkeyandcertificate:certificate> certificate file:<path to system-default2.cer>/system-default2.cer [admin-cntrl1]: sslkeyandcertificate> save
输入 <path to system-default.key>/system-default.key 密钥文件。输入 save 命令。
[admin-cntrl1]: sslkeyandcertificate> key file:<path to system-default.key>/system-default.key [admin-cntrl1]: sslkeyandcertificate> save
如果在更改之前停用了虚拟服务,请启用这些服务(可选)。
登录到 UI,导航到,然后检查续订的证书的过期日期。
