API 呼び出しを使用すると、マネージャ ノードまたはマネージャ クラスタ仮想 IP (VIP) の証明書を置き換えることができます。
NSX-T Data Center のインストール後、マネージャ ノードとクラスタに自己署名証明書が作成されます。自己署名証明書を CA 署名証明書に置き換えることを推奨します。また、単一の共通 CA 署名証明書を使用し、SAN (Subject Alternative Names) リストでクラスタのノードと VIP を照合することも推奨します。システムによって構成されたデフォルトの自己署名証明書の詳細については、証明書のタイプを参照してください。
フェデレーションを使用している場合は、次の API を使用して、グローバル マネージャ ノード、グローバル マネージャ クラスタ、ローカル マネージャ ノード、ローカル マネージャ クラスタの証明書を置き換えることができます。グローバル マネージャおよびローカル マネージャのアプライアンスに自動的に作成されたプラットフォーム プリンシパル ID 証明書を置き換えることもできます。フェデレーション用の自己署名証明書の自動構成の詳細については、NSX フェデレーション の証明書を参照してください。
前提条件
- NSX Manager で証明書が使用可能であることを確認します。自己署名証明書または CA 署名付き証明書のインポート を参照してください。
- サーバ証明書には、基本的な制約拡張機能
basicConstraints = cA:FALSE
が含まれている必要があります。 - 次の API 呼び出しを行い、証明書が有効であることを確認します。
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>?action=validate