您可以發出 API 呼叫,取代管理程式節點或管理程式叢集虛擬 IP (VIP) 的某些憑證。一次只能執行一項憑證取代作業。
安裝 NSX-T Data Center 之後,管理程式節點和叢集會具有自我簽署的憑證。建議您使用 CA 簽署的憑證取代自我簽署憑證,並使用單一通用的 CA 簽署憑證搭配符合所有節點和叢集 VIP 的 SAN (主體替代名稱) 清單。如需系統所設定預設自我簽署憑證的詳細資料,請參閱憑證類型。
如果您使用 NSX 聯盟,則可以使用下列 API 取代全域管理程式節點、全域管理程式叢集、本機管理程式節點和本機管理程式叢集憑證。您也可以取代針對全域管理程式和本機管理程式應用裝置自動建立的平台主體身分識別憑證。請參閱NSX 聯盟的憑證,以進一步瞭解為 NSX 聯盟自動設定的自我簽署憑證。
必要條件
- 確認 NSX Manager 中可以使用憑證。請參閱匯入自我簽署的憑證或 CA 簽署的憑證。
- 伺服器憑證必須包含基本限制延伸
basicConstraints = cA:FALSE
。 - 透過進行下列 API 呼叫,確認憑證有效:
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>?action=validate
備註: 請勿使用自動指令碼來同時取代多份憑證。可能會發生錯誤。