Ab NSX 4.2.1 werden bestimmte selbstsignierte Appliance-Zertifikate vor Ablauf ersetzt.

Eine Hintergrundaufgabe im NSX Manager prüft die Liste der in Corfu gespeicherten Zertifikate und ermittelt alle Appliance-Zertifikate, die abgelaufen sind oder innerhalb der nächsten 31 Tage ablaufen. Mit dieser Aufgabe wird dann ein Batch-Vorgang zur Zertifikatsersetzung erstellt und ausgeführt, bei dem alle abgelaufenen oder ablaufenden Zertifikate ersetzt werden.

Die Aufgabe zur automatischen Ersetzung führt im Fall folgenden kollidierender Vorgänge keine Ersetzungen durch:
  • Sichern und Wiederherstellen
  • Upgrade durchführen
  • Rollback
  • Hinzufügen eines neuen Transportknotens (Host oder Edge)
  • Hinzufügen eines neuen Manager-Knotens

Beachten Sie, dass APH_TN- oder CCP-Zertifikate während der automatischen Zertifikatsersetzung nicht ersetzt werden.

Sie können die Ersetzung ablaufender Zertifikate auch manuell initiieren, indem Sie die folgende API ausführen.

POST /api/v1/trust-management/certificates/action/renew-appliance-certificates

Standardmäßig führt die automatisierte Zertifikatsersetzung die erste Prüfung auf abgelaufene Zertifikate 10 Minuten nach dem Proton-Start durch und wiederholt die Prüfung dann alle 24 Stunden.

Deaktivieren der automatischen Zertifikatsersetzung

Standardmäßig ist die Richtlinie für die automatische Zertifikatsersetzung aktiviert. Zum Deaktivieren der Ersetzungsrichtlinie führen Sie folgende Felder zur API „/policy/api/v1/infra/security-global-config“ hinzu.

PUT /policy/api/v1/infra/security-global-config
{
    ... (existing properties)
    "automatic_appliance_certificate_replacement_enabled": false,
    "automatic_appliance_certificate_replacement_lead_time": 31  # in days
}