安裝 NSX 之後,管理程式節點和叢集會具有自我簽署的憑證。請將自我簽署憑證更換為 CA 簽署憑證,並使用一個包含 SAN (主體替代名稱) 的通用 CA 簽署憑證,可符合叢集的所有節點和 VIP。一次只能執行一項憑證更換作業。
若您使用 NSX 聯盟,則可使用以下 API 更換 GM API 憑證、GM 叢集憑證、LM API 憑證和 LM 叢集憑證。
更換 GM 或 LM 的憑證時,站台管理程式會將這些憑證傳送到其他所有已同盟站台,因此通訊保持不變。
現在可以使用或更換加密套件 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,在以下兩者之間進行通訊:
- 叢集中的 NSX 節點。
- NSX 聯盟 內。
- NSX Manager 至 NSX Edge。
- NSX Manager 至 NSX 代理程式。
- NSX Manager REST API 通訊 (外部)。
您也可以更換針對全域管理程式和本機管理程式應用裝置自動建立的平台主體身分識別憑證。請參閱NSX 聯盟的憑證,以進一步瞭解為 NSX 聯盟自動設定的自我簽署憑證。
備註: 對於
Cloud Service Manager,無法更換
NSX 環境中的 HTTP 憑證。
必要條件
- 確認 NSX Manager 中可以使用憑證。請注意,在待命全域管理程式上,會停用 UI 匯入作業。如需適用於待命全域管理程式的匯入 REST API 命令的詳細資料,請參閱匯入自我簽署的憑證或 CA 簽署的憑證。
- 伺服器憑證必須包含基本限制延伸
basicConstraints = cA:FALSE
。 - 透過進行下列 API 呼叫,確認憑證有效:
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<cert-id>?action=validate
備註: 請勿使用自動指令碼來同時更換多份憑證。可能會發生錯誤。