安装 NSX 后,管理器节点和集群具有自签名证书。将自签名证书替换为 CA 签名证书,并使用一个包含 SAN(主体备用名称)的通用 CA 签名证书,可匹配集群的所有节点和 VIP。一次只能运行一个证书替换操作。
如果使用的是 NSX 联合,可使用以下 API 替换 GM API 证书、GM 集群证书、LM API 证书和 LM 集群证书。
替换 GM 或 LM 证书时,站点管理器会将这些证书发送到所有其他联合站点,因此通信保持不变。
现在,可以使用或替换密码套件 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 以在以下两者之间进行通信:
- 集群中的 NSX 节点。
- 在 NSX 联合 中。
- NSX Manager 到 NSX Edge。
- NSX Manager 到 NSX 代理。
- NSX Manager REST API 通信(外部)。
您还可以替换为 全局管理器 和 本地管理器 设备自动创建的平台主体身份证书。有关为 NSX 联合自动配置的自签名证书的详细信息,请参见NSX 联合证书。
注: 对于
Cloud Service Manager,无法替换
NSX 环境中的 HTTP 证书。
前提条件
- 确认在 NSX Manager 中具有一个证书。请注意,在备用全局管理器上,将停用 UI 导入操作。有关备用全局管理器的导入 REST API 命令的详细信息,请参阅导入自签名证书或 CA 签名证书。
- 服务器证书必须包含基本限制扩展
basicConstraints = cA:FALSE
。 - 通过进行以下 API 调用来验证证书是否有效:
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=validate
注: 请勿使用自动脚本同时替换多个证书。可能会出现错误。