NSX 4.2.1 以降では、一部の自己署名アプライアンス証明書は有効期限が切れる前に置換されます。

NSX Manager のバックグラウンド タスクは、Corfu に保存されている証明書のリストをスキャンし、期限が切れた、または 31 日以内に期限が切れるすべてのアプライアンス証明書を識別します。次に、期限切れまたは期限切れが近づいているすべての証明書を置換するバッチ証明書置換操作を構築して実行します。

自動置換タスクは、次の競合する操作が存在する場合には置換を実行しません。
  • バックアップとリストア
  • アップグレード
  • ロールバック
  • 新しいトランスポート ノード(ホストまたは Edge)の追加
  • 新しいマネージャ ノードの追加

証明書の自動置換では、APH_TN または CCP 証明書は置換されないことに注意してください。

次の API を実行して、期限切れの近い証明書の置換を手動で開始することもできます。

POST /api/v1/trust-management/certificates/action/renew-appliance-certificates

デフォルトでは、証明書の自動置換は、Proton の起動後 10 分で期限切れの証明書の最初のチェックを実行し、その後 24 時間ごとにチェックを繰り返します。

証明書の自動置換をオフにする

デフォルトでは、証明書の自動置換ポリシーが有効になっています。置換ポリシーをオフにするには、/policy/api/v1/infra/security-global-config API に次のフィールドを追加します。 

PUT /policy/api/v1/infra/security-global-config
{
    ... (existing properties)
    "automatic_appliance_certificate_replacement_enabled": false,
    "automatic_appliance_certificate_replacement_lead_time": 31  # in days
}