Remplacement automatique des certificats arrivant à expiration

À partir de NSX 4.2.1, certains certificats de dispositif auto-signés seront remplacés avant leur expiration.

Une tâche en arrière-plan dans NSX Manager analyse la liste des certificats stockés dans Corfu et identifie tous les certificats de dispositif qui ont expiré ou qui doivent expirer dans un délai de 31 jours. Cette tâche construit et exécute ensuite une opération de remplacement de certificat par lot qui remplacera tous les certificats expirés ou arrivant à expiration.

La tâche de remplacement automatique n'effectuera pas de remplacements dans le cas des opérations conflictuelles suivantes :

Sauvegarde et restauration
Mise à niveau
Restauration
Ajout d'un nouveau nœud de transport (hôte ou dispositif Edge)
Ajout d'un nouveau nœud de gestionnaire

Notez que les certificats APH_TN ou CCP ne sont pas remplacés lors du remplacement automatique des certificats.

Vous pouvez également lancer manuellement le remplacement des certificats arrivant à expiration en exécutant l'API suivante.

POST /api/v1/trust-management/certificates/action/renew-appliance-certificates

Par défaut, le remplacement automatique des certificats effectue sa première vérification des certificats expirés 10 minutes après le démarrage de proton, puis répète la vérification toutes les 24 heures.

Désactivation du remplacement automatique des certificats

Par défaut, la stratégie de remplacement automatique des certificats est activée. Pour désactiver la stratégie de remplacement, ajoutez les champs suivants à l'API /policy/api/v1/infra/security-global-config.

PUT /policy/api/v1/infra/security-global-config
{
    ... (existing properties)
    "automatic_appliance_certificate_replacement_enabled": false,
    "automatic_appliance_certificate_replacement_lead_time": 31  # in days
}