Sostituzione automatica dei certificati in scadenza

A partire da NSX 4.2.1, alcuni certificati autofirmati dell'appliance vengono sostituiti prima della scadenza.

Un'attività in background in NSX Manager analizza l'elenco di certificati archiviati in Corfu e identifica tutti i certificati dell'appliance che sono scaduti o stanno per scadere entro 31 giorni. Questa attività crea ed esegue quindi un'operazione di sostituzione dei certificati in batch che sostituirà tutti i certificati scaduti o in scadenza.

L'attività di sostituzione automatica non eseguirà sostituzioni se si verifica un conflitto tra le operazioni seguenti:

Backup e ripristino
Aggiornamento
Rollback
Aggiunta di un nuovo nodo di trasporto (host o Edge)
Aggiunta di un nuovo nodo di Manager

Si tenga presente che i certificati APH_TN e CCP non vengono sostituiti durante la sostituzione automatica dei certificati.

È inoltre possibile avviare manualmente la sostituzione dei certificati in scadenza eseguendo l'API seguente.

POST /api/v1/trust-management/certificates/action/renew-appliance-certificates

Per impostazione predefinita, la sostituzione automatica dei certificati esegue il primo controllo della presenza di certificati scaduti 10 minuti dopo l'avvio di Proton e quindi ripete il controllo ogni 24 ore

Disattivazione della sostituzione automatica dei certificati

Per impostazione predefinita, il criterio di sostituzione automatica dei certificati è abilitato. Per disattivare il criterio di sostituzione, aggiungere i campi seguenti all'API /policy/api/v1/infra/security-global-config.

PUT /policy/api/v1/infra/security-global-config
{
    ... (existing properties)
    "automatic_appliance_certificate_replacement_enabled": false,
    "automatic_appliance_certificate_replacement_lead_time": 31  # in days
}