您可以發出 API 呼叫,取代管理程式節點的憑證或管理程式叢集虛擬 IP (VIP)。
安裝 NSX-T Data Center 之後,管理程式節點和叢集會具有自我簽署的憑證。建議您使用 CA 簽署的憑證取代自我簽署憑證,並使用單一通用的 CA 簽署憑證搭配符合所有節點和叢集 VIP 的 SAN (主體替代名稱) 清單。如需系統所設定預設自我簽署憑證的詳細資料,請參閱憑證類型。
如果您使用的是聯盟,則可以使用下列 API 取代全域管理程式節點、全域管理程式叢集、本機管理程式節點和本機管理程式叢集憑證。您也可以取代針對全域管理程式和本機管理程式應用裝置自動建立的平台主體身分識別憑證。請參閱NSX 聯盟的憑證以取得自動設定聯盟的自我簽署憑證詳細資料。
必要條件
- 確認 NSX Manager 中可以使用憑證。請參閱匯入自我簽署的憑證或 CA 簽署的憑證。
- 伺服器憑證必須包含基本限制延伸
basicConstraints = cA:FALSE
。 - 透過進行下列 API 呼叫,確認憑證有效:
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>?action=validate