在 NSX-T Data Center 中具有三种类别的自签名证书。
- 平台证书
- NSX Services 证书
- 主体身份证书
有关每个证书类别的详细信息,请参阅以下部分。
平台证书
在安装 NSX-T Data Center 后,导航到 以查看系统创建的平台证书。默认情况下,这些证书是自签名的 X.509 RSA 2048/SHA256 证书,用于 NSX-T Data Center 中的内部通信以及使用 API 或 UI 访问 NSX Manager 时的外部身份验证。
无法查看或编辑内部证书。
NSX Manager 中的命名约定 | 用途 | 可替换? | 默认有效性 |
---|---|---|---|
tomcat | 这是一个 API 证书,用于通过 UI/API 与各个 NSX Manager 节点进行的外部通信。 | 是。 请参见替换证书 | 825 天 |
mp-cluster | 这是一个 API 证书,用于使用集群 VIP 通过 UI/API 与 NSX Manager 集群进行的外部通信。 | 是。 请参见替换证书 | 825 天 |
其他证书 | 专用于 NSX 联合的证书。如果未使用 NSX 联合,则不会使用这些证书。 | 有关为 NSX 联合自动配置的自签名证书的详细信息,请参见NSX 联合证书。 |
|
在 UI 中不可见 | 用于不同系统组件之间的内部通信的证书。 | 否 | 10 年 |
NSX 服务证书
NSX 服务证书用于负载均衡器和 VPN 等服务。
不能对 NSX 服务证书进行自签名。您必须导入这些证书。有关说明,请参见导入和替换证书。
如果证书签名请求 (CSR) 已由 CA(本地 CA 或诸如 Verisign 之类的公共 CA)签名,则它可以用作 NSX 服务证书。CSR 获得签名后,可以将该签名证书导入 NSX Manager。CSR 可以在 NSX Manager 中或在 NSX Manager 外部生成。请注意,对于在 NSX Manager 中生成的 CSR,服务证书标记处于禁用状态。因此,这些签名的 CSR 不能用作服务证书,而只能用作平台证书。
平台证书和 NSX 服务证书在系统中分开存储,作为 NSX 服务证书导入的证书不能用于平台,反之亦然。
主体身份 (PI) 证书
PI 证书可用于服务或平台。
云管理平台 (Cloud Management Platform, CMP)(如 Openstack)的 PI 使用在将 CMP 作为客户端载入时上载的 X.509 证书。有关将角色分配给主体身份和替换 PI 证书的信息,请参见添加角色分配或主体身份。
NSX 联合的 PI 将 X.509 平台证书用于本地管理器设备和全局管理器设备。有关为 NSX 联合自动配置的自签名证书的详细信息,请参见NSX 联合证书。