NSX-T Data Center 中具有三种类别的自签名证书。

  • 平台证书
  • NSX Services 证书
  • 主体身份证书

有关每个证书类别的详细信息,请参阅以下部分。

平台证书

在安装 NSX-T Data Center 后,导航到系统 > 证书以查看系统创建的平台证书。默认情况下,这些证书是自签名的 X.509 RSA 2048/SHA256 证书,用于 NSX-T Data Center 中的内部通信以及使用 API 或 UI 访问 NSX Manager 时的外部身份验证。

无法查看或编辑内部证书。

表 1. NSX-T Data Center 中的平台证书
NSX Manager 中的命名约定 用途 可替换? 默认有效性
tomcat 这是一个 API 证书,用于通过 UI/API 与各个 NSX Manager 节点进行的外部通信。 是。

请参见替换证书
825 天
mp-cluster 这是一个 API 证书,用于使用集群 VIP 通过 UI/API 与 NSX Manager 集群进行的外部通信。
LocalManager 这是专用于联合的平台主体身份证书。如果未使用联合,则不会使用该证书。

有关为联合自动配置的自签名证书的详细信息,请参见联合的证书

在 UI 中不可见 用于不同系统组件之间的内部通信的证书。 10 年

NSX 服务证书

NSX 服务证书用于负载均衡器和 VPN 等服务。

不能对 NSX 服务证书进行自签名。您必须导入这些证书。有关说明,请参见导入和替换证书

平台证书和 NSX 服务证书分别存储在系统中,作为 NSX 服务证书导入的证书不能用于平台,反之亦然。

主体身份 (PI) 证书

PI 证书可用于服务或平台。

云管理平台 (Cloud Management Platform, CMP)(如 Openstack)的 PI 使用在将 CMP 作为客户端载入时上载的 X.509 证书。有关将角色分配给主体身份和替换 PI 证书的信息,请参见添加角色分配或主体身份

联合的 PI 使用用于本地管理器设备和全局管理器设备的 X.509 平台证书。有关为联合自动配置的自签名证书的详细信息,请参见联合的证书