A partir de NSX 4.2.1, algunos certificados de dispositivos autofirmados se reemplazarán antes de que caduquen.

Una tarea en segundo plano de NSX Manager examina la lista de certificados almacenados en Corfu e identifica aquellos certificados del dispositivo que caducaron o que van a caducar en un periodo de 31 días. A continuación, esta tarea crea y ejecuta una operación de reemplazo de certificados por lotes que reemplazará todos los certificados ya caducados o que van a caducar.

La tarea de reemplazo automático no realizará reemplazos en caso de las siguientes operaciones en conflicto:
  • Copia de seguridad y restauración
  • Actualizar
  • Revertir
  • Adición de un nuevo nodo de transporte (host o Edge)
  • Adición de un nuevo nodo de Manager

Tenga en cuenta que los certificados APH_TN o CCP no se reemplazan durante el reemplazo automático de certificados.

También puede iniciar manualmente el reemplazo de certificados que van a caducar ejecutando la siguiente API.

POST /api/v1/trust-management/certificates/action/renew-appliance-certificates

De forma predeterminada, el reemplazo de certificados automatizado realiza su primera comprobación de certificados caducados 10 minutos después del inicio de Proton y, a continuación, repite la comprobación cada 24 horas

Desactivar el reemplazo automático de certificados

De forma predeterminada, la directiva de reemplazo automático de certificados está habilitada. Para desactivar la directiva de reemplazo, agregue los siguientes campos a la API /policy/api/v1/infra/security-global-config. 

PUT /policy/api/v1/infra/security-global-config
{
    ... (existing properties)
    "automatic_appliance_certificate_replacement_enabled": false,
    "automatic_appliance_certificate_replacement_lead_time": 31  # in days
}