现在,可以从 NSX Manager 替换自签名或 CA 签名的设备证书。您只能替换具有私钥且有效的证书。无法替换属于服务证书类别的证书。

您可以替换以下服务类型的自签名证书:
  • MGMT_CLUSTER(也称为 VIP)
  • CBM_CLUSTER_MANAGER
  • K8S_MSG_CLIENT
  • CBM_CORFU
  • CCP
  • APH_TN
  • LOCAL_MANAGER
  • GLOBAL_MANAGER
  • APH(也称为 APH_AR)
  • API
  • WEB_PROXY
注: 请注意,从 NSX 4.2 开始,部分证书进行了整合。替换此类证书时,请确保替换证书必须具有一个与集群中的所有节点和 VIP 均匹配的通配 SAN 条目,或者必须具有与 VIP 和各个节点地址分别匹配、数量相当的 SAN 条目。

自此以后,如果要将各个证书分别分配给之前已经整合的服务,使其再次成为各自单独的证书,或者要整合之前已经分离的证书,请使用“应用证书”。取消整合证书后,请使用“替换证书”续订证书或在证书过期时替换证书。

过程

  1. 使用 admin 特权登录到 NSX Manager
  2. 导航到系统 > 证书
    您将看到所有证书的列表,包括证书总数、即将过期的证书以及当前正在使用的证书。所有证书按不同的组排列。您还可以根据自己的要求筛选证书。
  3. 要替换多个证书,请执行以下步骤:
    1. 选择要替换的证书,然后单击操作 > 替换证书
    2. 替换证书对话框中,为每个证书选择所需的选项:
      • 自动生成自签名证书:将旧证书替换为自动生成的自签名证书。这是默认选项。
      • 导入证书:导入签名证书以替换旧证书。您需要从下拉菜单中选择该选项。
      • 生成自签名证书:提供创建自签名证书以替换旧证书的选项。您需要从下拉菜单中选择该选项。
    3. 单击保存
  4. 要替换 PI 证书,请执行以下步骤:
    1. 选择要替换的 PI 证书。
    2. 从“更多”选项中,单击替换证书
    3. 替换证书对话框中,从下拉菜单中选择 PI 证书。
    4. 单击保存