安装 NSX 后,管理器节点和集群具有自签名证书。将自签名证书替换为 CA 签名证书,并使用一个包含 SAN(主体备用名称)的通用 CA 签名证书,可匹配所有节点的 FQDN 和 IP 以及集群的 VIP。一次只能运行一个证书替换操作。
如果使用的是 NSX 联合,可使用以下 API 替换 GM API 证书、GM 集群证书、LM API 证书和 LM 集群证书。
从 NSX 联合 4.1 开始,可以替换用于 GM-LM 通信的自签名证书。此外,全局管理器证书现在还会在注册本地管理器时生成本地管理器证书。本地管理器证书不再是默认证书。
替换全局管理器或本地管理器证书时,站点管理器会将这些证书发送到所有其他联合站点,因此通信保持不变。
现在,可以使用或替换密码套件 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 以在以下两者之间进行通信:
- 集群中的 NSX 节点。
- 在 NSX 联合 中。
- NSX Manager 到 NSX Edge。
- NSX Manager 到 NSX 代理。
- NSX Manager REST API 通信(外部)。
您还可以替换为 全局管理器 和 本地管理器 设备自动创建的平台主体身份证书。有关为 NSX 联合自动配置的自签名证书的详细信息,请参见NSX 和 NSX 联合 的证书。
注: 对于
Cloud Service Manager,无法替换
NSX 环境中的 HTTP 证书。
前提条件
- 确认在 NSX Manager 中具有一个证书。请注意,在备用全局管理器上,将停用 UI 导入操作。有关备用全局管理器的导入 REST API 命令的详细信息,请参阅导入自签名证书或 CA 签名证书。
- 服务器证书必须包含基本限制扩展
basicConstraints = CA:FALSE
。 - 通过进行以下 API 调用来验证证书是否有效:
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=validate
- 如果需要,请提供您的节点 ID 字符串。有关使用 UI 或 CLI 查找此信息的帮助,请参阅查找证书 API 调用的节点 ID。
注: 请勿使用自动脚本同时替换多个证书。可能会出现错误。