Puede reemplazar algunos certificados de un nodo de NSX Manager o la IP virtual (VIP) del clúster de NSX Manager mediante una llamada API. Solo puede ejecutar una operación de reemplazo de certificados a la vez.
Después de instalar NSX-T Data Center, el clúster y los nodos de NSX Manager tendrán certificados autofirmados. Se recomienda reemplazar los certificados autofirmados por un certificado firmado por una entidad de certificación y que se utilice un solo certificado firmado por una entidad de certificación común con una lista SAN que coincida con todos los nodos y la VIP del clúster. Consulte Tipos de certificado para obtener más información sobre los certificados autofirmados predeterminados configurados por el sistema.
Si utiliza NSX Federation, puede reemplazar nodos de Global Manager, el clúster de Global Manager, nodos de Local Manager y certificados de clúster de Local Manager mediante las siguientes API. También puede reemplazar los certificados de identidad principal de la plataforma creados automáticamente para el Global Manager y los dispositivos de Local Manager. Consulte Certificados para NSX Federation para obtener más información sobre los certificados autofirmados configurados automáticamente para NSX Federation.
Requisitos previos
- Compruebe que haya un certificado disponible en NSX Manager. Consulte Importar un certificado autofirmado o firmado por una entidad de certificación.
- El certificado del servidor debe contener la extensión de restricciones básica
basicConstraints = cA:FALSE
. - Compruebe que el certificado sea válido realizando la siguiente llamada API:
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>?action=validate
Nota: No utilice scripts automatizados para reemplazar varios certificados al mismo tiempo. Pueden producirse errores.