Sie können jetzt selbstsignierte oder von einer Zertifizierungsstelle signierte Appliance-Zertifikate über den NSX Manager ersetzen. Sie können nur Zertifikate ersetzen, die über einen privaten Schlüssel verfügen und gültig sind. Ein Zertifikat, das zu einer Dienstzertifikatskategorie gehört, kann nicht ersetzt werden.

Sie können die selbstsignierten Zertifikate für die folgenden Diensttypen ersetzen:
  • MGMT_CLUSTER (auch bekannt als VIP)
  • CBM_CLUSTER_MANAGER
  • K8S_MSG_CLIENT
  • CBM_CORFU
  • CCP
  • APH_TN
  • LOCAL_MANAGER
  • GLOBAL_MANAGER
  • APH (auch bekannt als APH_AR)
  • API
  • WEB_PROXY
Hinweis: Beachten Sie, dass ab NSX 4.2 einige Zertifikate konsolidiert wurden. Wenn Sie ein solches Zertifikat ersetzen, stellen Sie sicher, dass das ersetzende Zertifikat entweder über einen SAN-Platzhaltereintrag verfügt, der mit allen Knoten im Cluster und der VIP übereinstimmt, oder dass es genauso viele SAN-Einträge aufweist, die mit der VIP und den einzelnen Knotenadressen übereinstimmen.

Verwenden Sie in Zukunft „Zertifikat zuweisen“, wenn Sie einzelne Zertifikate Diensten zuweisen möchten, die zuvor konsolidiert wurden, sodass sie wieder zu einzelnen Zertifikaten werden, oder um zuvor getrennte Zertifikate zu konsolidieren. Verwenden Sie nach der Dekonsolidierung eines Zertifikats die Option „Zertifikat ersetzen“, um es zu erneuern oder nach Ablauf des Zertifikats zu ersetzen.

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Navigieren Sie zu System > Zertifikate.
    Sie sehen eine Liste aller Zertifikate, einschließlich der Gesamtzahl der Zertifikate, der Zertifikate, die in Kürze ablaufen, und der Zertifikate, die derzeit verwendet werden. Alle Zertifikate sind in verschiedenen Gruppen angeordnet. Sie können die Zertifikate auch gemäß Ihren Anforderungen filtern.
  3. Um mehrere Zertifikate zu ersetzen, führen Sie die folgenden Schritte aus:
    1. Wählen Sie die Zertifikate aus, die Sie ersetzen möchten, und klicken Sie auf Aktionen > Zertifikate ersetzen.
    2. Wählen Sie im Dialogfeld Zertifikate ersetzen für jedes Zertifikat die erforderliche Option aus:
      • Selbstsigniertes Zertifikat automatisch generieren: Ersetzt das alte Zertifikat durch ein automatisch generiertes, selbstsigniertes Zertifikat. Dies ist die Standardoption.
      • Zertifikate importieren: Importiert signierte Zertifikate, um das alte Zertifikat zu ersetzen. Sie müssen diese Option im Dropdown-Menü auswählen.
      • Selbstsigniertes Zertifikat generieren: Bietet eine Option zum Erstellen eines selbstsignierten Zertifikats, um das alte Zertifikat zu ersetzen. Sie müssen diese Option im Dropdown-Menü auswählen.
    3. Klicken Sie auf Speichern.
  4. Um PI-Zertifikate zu ersetzen, führen Sie die folgenden Schritte aus:
    1. Wählen Sie das PI-Zertifikat aus, das Sie ersetzen möchten.
    2. Klicken Sie auf Zertifikat ersetzen, um weitere Optionen anzuzeigen.
    3. Wählen Sie im Dialogfeld Zertifikat ersetzen das PI-Zertifikat aus dem Dropdown-Menü aus.
    4. Klicken Sie auf Speichern.