NSX のインストール後、マネージャ ノードとクラスタに自己署名証明書が作成されます。自己署名証明書を CA 署名証明書に置き換えて、クラスタのノードと仮想 IP アドレスのすべてに一致する SAN (Subject Alternative Names) を含む単一の共通 CA 署名証明書を使用します。一度に実行できる証明書の置き換え操作は 1 つだけです。
NSX フェデレーション を使用している場合は、次の API を使用して、GM API 証明書、GM クラスタ証明書、LM API 証明書、LM クラスタ証明書を置き換えることができます。
GM または LM 証明書を置き換えると、サイト マネージャはこれらを他のすべてのフェデレーション サイトに送信します。通信はそのまま維持されます。
暗号スイート TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 を使用したり、次の間の通信に置き換えることが可能になりました。
- クラスタ内の NSX ノード。
- NSX フェデレーション 内。
- NSX Manager から NSX Edge。
- NSX Manager から NSX エージェント。
- NSX Manager REST API 通信(外部)。
グローバル マネージャ および ローカル マネージャ のアプライアンスに自動的に作成されたプラットフォーム プリンシパル ID 証明書を置き換えることもできます。NSX フェデレーション用の自己署名証明書の自動構成の詳細については、NSX フェデレーション の証明書を参照してください。
注:
Cloud Service Manager では、
NSX 環境の HTTP 証明書を置き換えることはできません。
前提条件
- NSX Manager で証明書が使用可能であることを確認します。スタンバイ グローバル マネージャ では、ユーザー インターフェイスのインポート操作は無効になります。スタンバイ グローバル マネージャ のインポート REST API コマンドの詳細については、「自己署名証明書または CA 署名付き証明書のインポート」を参照してください。
- サーバ証明書には、基本的な制約拡張機能
basicConstraints = cA:FALSE
が含まれている必要があります。 - 次の API 呼び出しを行い、証明書が有効であることを確認します。
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=validate
注: 自動スクリプトを使用して複数の証明書を同時に置き換えないでください。エラーが発生する可能性があります。