API를 호출하여 관리자 노드 또는 관리자 클러스터 VIP(가상 IP)에 대한 일부 인증서를 바꿀 수 있습니다. 한 번에 하나의 인증서 교체 작업만 실행할 수 있습니다.
NSX-T Data Center를 설치하면 관리자 노드 및 클러스터에 자체 서명된 인증서가 생깁니다. 자체 서명된 인증서를 CA 서명 인증서로 대체하고 클러스터의 모든 노드 및 VIP와 일치하는 단일 공통 CA 서명 인증서를 SAN(주체 대체 이름) 목록과 함께 사용하는 것이 좋습니다. 시스템에서 구성된 기본 자체 서명 인증서에 대한 자세한 내용은 인증서 유형 항목을 참조하십시오.
NSX 페더레이션을 사용하는 경우 다음 API를 사용하여 글로벌 관리자 노드, 글로벌 관리자 클러스터, 로컬 관리자 노드 및 로컬 관리자 클러스터 인증서를 교체할 수 있습니다. 글로벌 관리자 및 로컬 관리자 장치에 대해 자동으로 생성된 플랫폼 주체 ID 인증서를 교체할 수도 있습니다. NSX 페더레이션을 위해 자동으로 구성된 자체 서명된 인증서에 대한 자세한 내용은 NSX 페더레이션에 대한 인증서 항목을 참조하십시오.
사전 요구 사항
- NSX Manager에서 인증서를 사용할 수 있는지 확인합니다. 자체 서명된 인증서 또는 CA 서명된 인증서 가져오기 항목을 참조하십시오.
- 서버 인증서에는 기본 제약 조건 확장
basicConstraints = cA:FALSE
가 포함되어야 합니다. - 다음 API 호출을 수행하여 인증서가 유효한지 확인합니다.
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>?action=validate
참고: 자동화된 스크립트를 사용하여 여러 인증서를 동시에 교체하지 마십시오. 오류가 발생할 수 있습니다.