Vous pouvez désormais remplacer les certificats de dispositifs auto-signés ou signés par une autorité de certification à partir de NSX Manager. Vous pouvez uniquement remplacer les certificats ayant une clé privée et qui sont valides. Vous ne pouvez pas remplacer un certificat qui appartient à une catégorie de certificat de service.

Vous pouvez remplacer les certificats auto-signés pour les types de services suivants :
  • MGMT_CLUSTER (alias VIP)
  • CBM_CLUSTER_MANAGER
  • K8S_MSG_CLIENT
  • CBM_CORFU
  • CCP
  • APH_TN
  • LOCAL_MANAGER
  • GLOBAL_MANAGER
  • APH (alias APH_AR)
  • API
  • WEB_PROXY
Note : Notez qu'à partir de NSX 4.2, certains certificats ont été consolidés. Lorsque vous remplacez un certificat de ce type, le certificat de remplacement doit disposer d'une entrée SAN générique qui correspond à tous les nœuds du cluster et à l'adresse IP virtuelle ou il doit comporter autant d'entrées SAN qui correspondent à l'adresse IP virtuelle et aux adresses de nœud individuels.

Par la suite, utilisez l'option « Appliquer le certificat » lorsque vous souhaitez attribuer des certificats individuels à des services qui ont été précédemment consolidés afin qu'ils redeviennent des certificats individuels ou pour consolider des certificats qui ont été précédemment séparés. Après l'annulation de la consolidation d'un certificat, utilisez l'option « Remplacer le certificat » pour le renouveler ou le remplacer lorsqu'il a expiré.

Procédure

  1. Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
  2. Accédez à Système > Certificats.
    Une liste de tous les certificats, y compris le nombre total de certificats, les certificats sur le point d'expirer et les certificats en cours d'utilisation s'affiche. Tous les certificats sont organisés en différents groupes. Vous pouvez également filtrer les certificats selon vos besoins.
  3. Pour remplacer plusieurs certificats, procédez comme suit :
    1. Sélectionnez les certificats à remplacer, puis cliquez sur Actions > Remplacer les certificats.
    2. Dans la boîte de dialogue Remplacer les certificats, sélectionnez l'option requise pour chaque certificat :
      • Générer automatiquement un certificat auto-signé : remplace l'ancien certificat par un certificat auto-signé généré automatiquement. Il s'agit de l'option par défaut.
      • Importer des certificats : importe les certificats signés pour remplacer l'ancien certificat. Vous devez sélectionner cette option dans le menu déroulant.
      • Générer un certificat auto-signé : permet de créer un certificat auto-signé pour remplacer l'ancien certificat. Vous devez sélectionner cette option dans le menu déroulant.
    3. Cliquez sur Enregistrer.
  4. Pour remplacer des certificats PI, procédez comme suit :
    1. Sélectionnez le certificat PI à remplacer.
    2. Dans l'option Plus, cliquez sur Remplacer le certificat.
    3. Dans la boîte de dialogue Remplacer le certificat, sélectionnez le certificat PI dans le menu déroulant.
    4. Cliquez sur Enregistrer.