取代憑證

安裝 NSX-T Data Center 之後，管理程式節點和叢集會具有自我簽署的憑證。請將自我簽署憑證取代為 CA 簽署憑證，並使用一個包含 SAN (主體替代名稱) 的通用 CA 簽署憑證，可符合叢集的所有節點和 VIP。一次只能執行一項憑證取代作業。

若您使用 NSX 聯盟，則可使用以下 API 取代 GM API 憑證、GM 叢集憑證、LM API 憑證和 LM 叢集憑證。

取代 GM 或 LM 的憑證時，站台管理程式會將這些憑證傳送到其他所有已同盟站台，因此通訊保持不變。

現在可以使用或取代加密套件 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384，在以下兩者之間進行通訊：

叢集中的 NSX-T Data Center 節點。
NSX 聯盟內。
NSX Manager 至 NSX Edge。
NSX Manager 至 NSX-T Data Center 代理程式。
NSX Manager REST API 通訊 (外部)。

您也可以取代針對全域管理程式和本機管理程式應用裝置自動建立的平台主體身分識別憑證。請參閱NSX 聯盟的憑證，以進一步瞭解為 NSX 聯盟自動設定的自我簽署憑證。

備註：對於 Cloud Service Manager，無法取代 NSX-T Data Center 環境中的 HTTP 憑證。

必要條件

確認 NSX Manager 中可以使用憑證。請注意，在待命全域管理程式上，會停用 UI 匯入作業。如需適用於待命全域管理程式的匯入 REST API 命令的詳細資料，請參閱匯入自我簽署的憑證或 CA 簽署的憑證。
伺服器憑證必須包含基本限制延伸 basicConstraints = cA:FALSE。
透過進行下列 API 呼叫，確認憑證有效：
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=validate

備註：請勿使用自動指令碼來同時取代多份憑證。可能會發生錯誤。

程序

使用 admin 權限來登入 NSX Manager。
選取系統 > 憑證。
在識別碼資料行中，選取所要使用憑證的識別碼，然後複製快顯視窗中的憑證識別碼。
請確保匯入此憑證時，選項服務憑證已設定為否。
附註：憑證鏈結必須採用「憑證 - 中繼 - 根」的業界標準順序。
若要取代管理程式節點的憑證，請使用 API 呼叫：
```
POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=API&node_id=<node-id>
```
例如：

POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=API&node_id=e61c7537-3090-4149-b2b6-19915c20504f
如需有關 API 的詳細資訊，請參閱《NSX-T Data Center API 指南》。
若要取代管理程式叢集 VIP 的憑證，請使用 API 呼叫：
```
POST /api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=MGMT_CLUSTER
```
例如：

POST https://<nsx-mgr>/api/v1/trust-management/certificates/d60c6a07-6e59-4873-8edb-339bf75711?action=apply_certificate&service_type=MGMT_CLUSTER
附註：憑證鏈結必須採用「憑證 - 中繼 - 根」的業界標準順序。

如需有關 API 的詳細資訊，請參閱《NSX-T Data Center API 指南》。如果您未設定 VIP，則不需要此步驟。
(選擇性) 若要取代 NSX 聯盟的本機管理程式和全域管理程式主體身分識別憑證，請使用下列 API 呼叫。整個 NSX Manager 叢集 (本機管理程式和全域管理程式) 需要一個 PI 憑證。

備註：請勿使用此程序來取代到期的憑證。若要取代到期的憑證，請參閱新增角色指派或主體身分識別，以取得相關指示。如果您難以將憑證匯入至待命全域管理程式，請參閱匯入自我簽署的憑證或 CA 簽署的憑證，以瞭解 REST API 命令。
```
POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=<service-type>
```
例如：
```
POST https://<local-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=LOCAL_MANAGER
```
或
```
POST https://<global-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be76b?action=apply_certificate&service_type=GLOBAL_MANAGER
```

若要取代 APH-APR 憑證，請使用 API 呼叫：

POST https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=apply_certificate&service_type=APH

例如：

POST https://<nsx-mgr>/api/v1/trust-management/certificates/77c5dc5c-6ba5-4e74-a801-c27dc09be79b?action=apply_certificate&service_type=APH