만료 예정인 인증서 자동 교체

NSX 4.2.1부터 일부 자체 서명된 장치 인증서가 만료되기 전에 교체됩니다.

NSX Manager의 백그라운드 작업은 Corfu에 저장된 인증서 목록을 검색하고 만료되었거나 31일 이내에 만료될 예정인 모든 장치 인증서를 식별합니다. 그런 다음, 이 작업은 만료된 인증서 또는 만료 예정인 인증서를 모두 교체하는 일괄 인증서 바꾸기 작업을 구성하고 실행합니다.

다음과 같은 충돌하는 작업이 있는 경우 자동 교체 작업이 교체를 수행하지 않습니다.

백업 및 복원
업그레이드를 위한 인바운드 트래픽
롤백
새 전송 노드(호스트 또는 Edge) 추가
새 관리자 노드 추가

자동 인증서 교체 중에는 APH_TN 또는 CCP 인증서가 교체되지 않습니다.

다음 API를 실행하여 만료 예정인 인증서의 교체를 수동으로 시작할 수도 있습니다.

POST /api/v1/trust-management/certificates/action/renew-appliance-certificates

기본적으로 자동화된 인증서 교체는 proton이 시작되고 10분 후에 만료된 인증서에 대한 첫 번째 검사를 수행한 다음, 24시간마다 검사를 반복합니다.

자동 인증서 교체 끄기

기본적으로 자동 인증서 교체 정책은 사용하도록 설정됩니다. 교체 정책을 해제하려면 다음 필드를 /policy/api/v1/infra/security-global-config API에 추가합니다.

PUT /policy/api/v1/infra/security-global-config
{
    ... (existing properties)
    "automatic_appliance_certificate_replacement_enabled": false,
    "automatic_appliance_certificate_replacement_lead_time": 31  # in days
}