您可以进行 API 调用以替换管理器节点或管理器集群虚拟 IP (Virtual IP, VIP) 的证书。
安装 NSX-T Data Center 后,管理器节点和集群具有自签名证书。建议您将自签名证书替换为 CA 签名证书,并使用一个包含 SAN(主体备用名称)列表的通用 CA 签名证书,该列表可匹配集群的所有节点和 VIP。有关系统配置的默认自签名证书的详细信息,请参见证书类型。
如果使用联合,您可以使用以下 API 替换全局管理器节点证书、全局管理器集群证书、本地管理器节点证书和本地管理器集群证书。您还可以替换为全局管理器设备和本地管理器设备自动创建的平台主体身份证书。有关为联合自动配置的自签名证书的详细信息,请参见NSX 联合证书。
前提条件
- 确认在 NSX Manager 中具有一个证书。请参见导入自签名证书或 CA 签名证书。
- 服务器证书必须包含基本限制扩展
basicConstraints = cA:FALSE
。 - 通过进行以下 API 调用来验证证书是否有效:
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>?action=validate