自動更換即將到期的憑證

從 NSX 4.2.1 開始，某些自我簽署的應用裝置憑證將在到期之前進行更換。

NSX Manager 中的背景工作會掃描儲存在 Corfu 中的憑證清單，並識別所有已到期或在 31 天內即將到期的應用裝置憑證。之後，此背景工作將建構並執行批次憑證更換作業，以更換所有已到期或即將到期的憑證。

發生以下衝突作業時，自動更換工作將不執行更換：

備份與還原
(升級)
復原
新增傳輸節點 (主機或 Edge)
新增管理程式節點

請注意，在自動憑證更換過程中，不會更換 APH_TN 或 CCP 憑證。

您也可以透過執行以下 API，手動起始對即將到期憑證的更換作業。

POST /api/v1/trust-management/certificates/action/renew-appliance-certificates

依預設，自動憑證更換在 Proton 啟動後 10 分鐘執行第一次到期憑證檢查，之後每 24 小時重複檢查一次

關閉自動憑證更換

依預設，自動憑證更換原則處於啟用狀態。若要關閉更換原則，請將以下欄位新增到 /policy/api/v1/infra/security-global-config API。

PUT /policy/api/v1/infra/security-global-config
{
    ... (existing properties)
    "automatic_appliance_certificate_replacement_enabled": false,
    "automatic_appliance_certificate_replacement_lead_time": 31  # in days
}