自动替换即将过期的证书

从 NSX 4.2.1 开始，一些自签名设备证书将在过期之前进行替换。

NSX Manager 中的后台任务会扫描 Corfu 中存储的证书列表，确定已经过期或即将在 31 天内过期的所有设备证书。之后，此任务将构建并运行批量证书替换操作，此操作将替换所有已经过期或即将过期的证书。

发生以下冲突操作时，自动替换任务将不执行替换：

备份和还原
升级
回滚
添加新的传输节点（主机或 Edge）
添加新的管理器节点

请注意，在自动证书替换过程中，不会替换 APH_TN 或 CCP 证书。

您也可以通过运行以下 API，手动启动对即将过期证书的替换。

POST /api/v1/trust-management/certificates/action/renew-appliance-certificates

默认情况下，自动证书替换在 proton 启动后 10 分钟对过期证书执行首次检查，之后每 24 小时重复一次检查

关闭自动证书替换

默认情况下，自动证书替换策略处于启用状态。要关闭替换策略，请将以下字段添加到 /policy/api/v1/infra/security-global-config API。

PUT /policy/api/v1/infra/security-global-config
{
    ... (existing properties)
    "automatic_appliance_certificate_replacement_enabled": false,
    "automatic_appliance_certificate_replacement_lead_time": 31  # in days
}