Après l'installation de NSX-T Data Center, les nœuds de gestionnaire et le cluster ont des certificats auto-signés. Remplacez les certificats auto-signés par un certificat signé par une autorité de certification et utilisez un seul certificat signé par une autorité de certification commune avec un SAN (Subject Alternative Name) qui correspond à tous les nœuds et VIP du cluster. Vous ne pouvez exécuter qu'une seule opération de remplacement de certificat à la fois.
Si vous utilisez NSX fédération, vous pouvez remplacer les certificats d'API GM, le certificat de cluster GM, les certificats d'API LM et les certificats de cluster LM à l'aide des API suivantes.
Lorsque vous remplacez le certificat gestionnaire global ou gestionnaire local, le gestionnaire de sites les envoie à tous les autres sites fédérés, afin que la communication reste intacte.
- les nœuds NSX-T Data Center dans le cluster ;
- dans la NSX fédération ;
- entre NSX Manager et NSX Edge ;
- entre NSX Manager et l'agent NSX-T Data Center ;
- La communication REST API NSX Manager (externe).
Vous pouvez également remplacer les certificats d'identité de principal de plate-forme créés automatiquement pour le Gestionnaire global et les dispositifs Gestionnaire local. Reportez-vous à Certificats pour NSX fédération pour plus d'informations sur les certificats auto-signés configurés automatiquement pour NSX fédération.
Conditions préalables
- Vérifiez qu'un certificat est disponible dans le dispositif NSX Manager. Notez que sur un Gestionnaire global en veille, l'opération d'importation de l'interface utilisateur est désactivée. Pour plus d'informations sur la commande d'importation REST API d'un Gestionnaire global en veille, reportez-vous à Importer un certificat auto-signé ou signé par une autorité de certification.
- Le certificat de serveur doit contenir l'extension des contraintes de base
basicConstraints = cA:FALSE
. - Vérifiez que le certificat est valide en effectuant l'appel d'API suivant :
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=validate
Note : N'utilisez pas de scripts automatisés pour remplacer plusieurs certificats en même temps. Des erreurs peuvent se produire.