您可以进行 API 调用以替换管理器节点或管理器集群虚拟 IP (Virtual IP, VIP) 的某些证书。一次只能运行一个证书替换操作。
安装 NSX-T Data Center 后,管理器节点和集群具有自签名证书。建议您将自签名证书替换为 CA 签名证书,并使用一个包含 SAN(主体备用名称)列表的通用 CA 签名证书,该列表可匹配集群的所有节点和 VIP。有关系统配置的默认自签名证书的详细信息,请参见证书类型。
如果您使用的是 NSX 联合,则可以使用以下 API 替换 全局管理器 节点、全局管理器 集群、本地管理器 节点和 本地管理器 集群证书。您还可以替换为 全局管理器 和 本地管理器 设备自动创建的平台主体身份证书。有关为 NSX 联合自动配置的自签名证书的详细信息,请参见NSX 联合证书。
前提条件
- 确认在 NSX Manager 中具有一个证书。请参见导入自签名证书或 CA 签名证书。
- 服务器证书必须包含基本限制扩展
basicConstraints = cA:FALSE
。 - 通过进行以下 API 调用来验证证书是否有效:
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>?action=validate
注: 请勿使用自动脚本同时替换多个证书。可能会出现错误。