NSX Advanced Load Balancer のデフォルトの証明書は自己署名されています。このセクションでは、証明書の有効期限が切れた場合、または間もなく期限切れになる場合にデフォルトの証明書を置き換える方法について説明します。次の手順を使用して、自己署名証明書をサードパーティの署名付き証明書に置き換えることができます。
前提条件
OpenSSL 1.1.x 以降。
NSX Advanced Load Balancer ユーザー インターフェイスを使用した構成
の順に移動し、System-Default-Cert エントリの [エクスポート] アイコン(右側)をクリックします。
[クリップボードにコピー] オプションを使用して、[キー] フィールドと [証明書] フィールドのデータを 2 つの新しいファイルにコピーします。新しいファイルにそれぞれ
system-default.keyとsystem-default.cerという名前を付けます。
OpenSSL を使用した構成
OpenSSL で次のコマンドを実行して、証明書の有効期限を確認します。
openssl x509 -in system-default.cer -noout -enddate
次のコマンドを実行して、
system-default.keyを使用して新しい CSR を生成します。openssl req -new -key system-default.key -out system-default.csr
次のコマンドを実行して、新しい有効期限の新しい証明書を生成します。この例では、新しい証明書の名前は
system-default2.cerです。openssl x509 -req -days 365 -in system-default.csr -signkey system-default.key -out system-default2.cer
新しい証明書
(system-default2.cer)の有効期限を確認します。openssl x509 -in system-default2.cer -noout -enddate
NSX Advanced Load Balancer CLI とユーザー インターフェイスを使用した構成
system-default2.cerとsystem-default.keyをコントローラにコピーします。オプションの手順:次の手順を実行する前に、
System-Default-Certを使用するように構成されている仮想サービスを無効にすることができます。CLI にログインし、次のコマンドを実行して、NSX Advanced Load Balancer (System-Default-Cert) でデフォルト証明書の変更を実行します。
[admin:cntrl1]: > configure sslkeyandcertificate System-Default-Cert
certificate コマンドを実行し、[Enter] キーを押します。証明書ファイル <path to system-default2.cer>/system-default2.cer を実行します。save コマンドを入力して変更を保存します。
[admin-cntrl1]: sslkeyandcertificate> certificate [admin-cntrl1]: sslkeyandcertificate:certificate> certificate file:<path to system-default2.cer>/system-default2.cer [admin-cntrl1]: sslkeyandcertificate> save
キー ファイル <path to system-default.key>/system-default.key を入力します。save コマンドを入力します。
[admin-cntrl1]: sslkeyandcertificate> key file:<path to system-default.key>/system-default.key [admin-cntrl1]: sslkeyandcertificate> save
変更前に無効にされていた仮想サービスを有効にします(オプション)。
ユーザー インターフェイスにログインし、 の順に移動し、更新された証明書の有効期限を確認します。
