証明書の置き換え

NSX-T Data Center のインストール後、マネージャノードとクラスタに自己署名証明書が作成されます。自己署名証明書を CA 署名証明書に置き換えて、クラスタのノードと仮想 IP アドレスのすべてに一致する SAN (Subject Alternative Names) を含む単一の共通 CA 署名証明書を使用します。一度に実行できる証明書の置き換え操作は 1 つだけです。

NSX フェデレーションを使用している場合は、次の API を使用して、GM API 証明書、GM クラスタ証明書、LM API 証明書、LM クラスタ証明書を置き換えることができます。

GM または LM 証明書を置き換えると、サイトマネージャはこれらを他のすべてのフェデレーションサイトに送信します。通信はそのまま維持されます。

暗号スイート TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 を使用したり、次の間の通信に置き換えることが可能になりました。

クラスタ内の NSX-T Data Center ノード。
NSX フェデレーション内。
NSX Manager から NSX Edge。
NSX Manager から NSX-T Data Center エージェント。
NSX Manager REST API 通信（外部）。

グローバルマネージャおよびローカルマネージャのアプライアンスに自動的に作成されたプラットフォームプリンシパル ID 証明書を置き換えることもできます。NSX フェデレーション用の自己署名証明書の自動構成の詳細については、NSX フェデレーションの証明書を参照してください。

注： Cloud Service Manager では、 NSX-T Data Center 環境の HTTP 証明書を置き換えることはできません。

前提条件

NSX Manager で証明書が使用可能であることを確認します。スタンバイグローバルマネージャでは、ユーザーインターフェイスのインポート操作は無効になります。スタンバイグローバルマネージャのインポート REST API コマンドの詳細については、「自己署名証明書または CA 署名付き証明書のインポート」を参照してください。
サーバ証明書には、基本的な制約拡張機能 basicConstraints = cA:FALSE が含まれている必要があります。
次の API 呼び出しを行い、証明書が有効であることを確認します。
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=validate

注：自動スクリプトを使用して複数の証明書を同時に置き換えないでください。エラーが発生する可能性があります。

手順

管理者権限で NSX Manager にログインします。
[システム] > [証明書] の順に選択します。
[ID] 列で、使用する証明書の ID を選択し、ポップアップウィンドウから証明書 ID をコピーします。
この証明書のインポート時に [サービス証明書 ] オプションが [いいえ] に設定されていたことを確認します。
注：証明書チェーンは、業界標準である「証明書 - 中間 - ルート」の順序にする必要があります。
マネージャノードの証明書を置き換えるには、API 呼び出しを使用します。
```
POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=API&node_id=<node-id>
```
次はその例です。

POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=API&node_id=e61c7537-3090-4149-b2b6-19915c20504f
API の詳細については、『NSX-T Data Center API ガイド』を参照してください。
マネージャクラスタ VIP の証明書を置き換えるには、API 呼び出しを使用します。
```
POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=MGMT_CLUSTER
```
次はその例です。

POST https://<nsx-mgr>/api/v1/trust-management/certificates/d60c6a07-6e59-4873-8edb-339bf75711?action=apply_certificate&service_type=MGMT_CLUSTER
注：証明書チェーンは、業界標準である「証明書 - 中間 - ルート」の順序にする必要があります。

API の詳細については、『NSX-T Data Center API ガイド』を参照してください。VIP を構成していない場合、この手順を行う必要はありません。
（オプション） NSX フェデレーションのローカルマネージャおよびグローバルマネージャプリンシパル ID 証明書を置き換えるには、次の API 呼び出しを使用します。NSX Manager クラスタ全体（ローカルマネージャとグローバルマネージャ）には、1 つの PI 証明書が必要です。

注：期限切れの証明書を置き換える場合は、この手順を使用しないでください。期限切れの証明書を置き換えるには、「ロールの割り当てまたはプリンシパル ID の追加」を参照してください。証明書をスタンバイグローバルマネージャにインポートすることができない場合は、「自己署名証明書または CA 署名付き証明書のインポート」の REST API コマンドを参照してください。
```
POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=<service-type>
```
次はその例です。
```
POST https://<local-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=LOCAL_MANAGER
```
または
```
POST https://<global-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=GLOBAL_MANAGER
```

APH-APR 証明書を置き換えるには、API 呼び出しを使用します。

POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=APH

次はその例です。

POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be79b?action=apply_certificate&service_type=APH