NSX를 설치하면 관리자 노드 및 클러스터에 자체 서명된 인증서가 생깁니다. 자체 서명된 인증서를 CA 서명 인증서로 대체하고 클러스터의 모든 노드 및 VIP와 일치하는 단일 공통 CA 서명 인증서를 SAN(주체 대체 이름)과 함께 사용합니다. 한 번에 하나의 인증서 교체 작업만 실행할 수 있습니다.
NSX 페더레이션을 사용하는 경우 다음 API를 사용하여 GM API 인증서, GM 클러스터 인증서, LM API 인증서 및 LM 클러스터 인증서를 대체할 수 있습니다.
GM 또는 LM 인증서를 교체할 때 사이트 관리자는 이러한 인증서를 다른 모든 페더레이션된 사이트로 전송하므로 통신은 그대로 유지됩니다.
이제 다음 사이의 통신에 대해 암호 그룹 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384를 사용하거나 교체할 수 있습니다.
- 클러스터에 있는 NSX 노드
- NSX 페더레이션 내에서
- NSX Manager에서 NSX Edge로
- NSX에서 NSX Manager 에이전트로
- NSX Manager REST API 통신(외부)
글로벌 관리자 및 로컬 관리자 장치에 대해 자동으로 생성된 플랫폼 주체 ID 인증서를 교체할 수도 있습니다. NSX 페더레이션을 위해 자동으로 구성된 자체 서명된 인증서에 대한 자세한 내용은 NSX 페더레이션에 대한 인증서 항목을 참조하십시오.
참고:
Cloud Service Manager의 경우
NSX 환경에서 HTTP 인증서를 바꿀 수 없습니다.
사전 요구 사항
- NSX Manager에서 인증서를 사용할 수 있는지 확인합니다. 대기 글로벌 관리자에서 UI 가져오기 작업이 비활성화됩니다. 대기 글로벌 관리자에 대한 가져오기 REST API 명령에 대한 자세한 내용은 자체 서명된 인증서 또는 CA 서명된 인증서 가져오기 항목을 참조하십시오.
- 서버 인증서에는 기본 제약 조건 확장
basicConstraints = cA:FALSE
가 포함되어야 합니다. - 다음 API 호출을 수행하여 인증서가 유효한지 확인합니다.
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=validate
참고: 자동화된 스크립트를 사용하여 여러 인증서를 동시에 교체하지 마십시오. 오류가 발생할 수 있습니다.