Vous pouvez remplacer certains certificats d'un nœud de gestionnaire ou l'adresse IP virtuelle (VIP) d'un cluster de gestionnaires en effectuant un appel d'API. Vous ne pouvez exécuter qu'une seule opération de remplacement de certificat à la fois.
Après l'installation de NSX-T Data Center, les nœuds de gestionnaire et le cluster ont des certificats auto-signés. Il est recommandé de remplacer les certificats auto-signés par un certificat signé par une autorité de certification et d'utiliser un seul certificat signé par une autorité de certification commune avec une liste SAN (Subject Alternative Names) qui correspond à tous les nœuds et VIP du cluster. Pour plus d'informations sur les certificats auto-signés par défaut configurés par le système, reportez-vous à la section Types de certificats.
Si vous utilisez NSX Federation, vous pouvez remplacer les nœuds Gestionnaire global, clusters Gestionnaire global, nœuds Gestionnaire local et certificats de cluster Gestionnaire local à l'aide des API suivantes. Vous pouvez également remplacer les certificats d'identité de principal de plate-forme créés automatiquement pour le Gestionnaire global et les dispositifs Gestionnaire local. Reportez-vous à Certificats pour NSX Federation pour plus d'informations sur les certificats auto-signés configurés automatiquement pour NSX Federation.
Conditions préalables
- Vérifiez qu'un certificat est disponible dans le dispositif NSX Manager. Reportez-vous à la section Importer un certificat auto-signé ou signé par une autorité de certification.
- Le certificat de serveur doit contenir l'extension des contraintes de base
basicConstraints = cA:FALSE
. - Vérifiez que le certificat est valide en effectuant l'appel d'API suivant :
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>?action=validate
Note : N'utilisez pas de scripts automatisés pour remplacer plusieurs certificats en même temps. Des erreurs peuvent se produire.