在 NSX 中具有三种类别的自签名证书。
- 平台证书
- NSX Services 证书
- 主体身份证书
平台证书
在安装 NSX 后,导航到 以查看系统创建的平台证书。默认情况下,这些证书是自签名的 X.509 RSA 2048/SHA256 证书,用于 NSX 中的内部通信以及使用 API 或 UI 访问 NSX Manager 时的外部身份验证。
无法查看或编辑内部证书。
如果使用 VMware Cloud Foundation™ (VCF) 部署 NSX,则会从 vCenter 中将默认 NSX API 和集群证书替换为由 VMware Certificate Authority (VMCA) 签名的 CA 证书。API 和集群证书可能仍显示在证书列表中,但不会使用这些证书。可使用《VCF 管理指南》中提供的操作过程替换 CA 签名证书。执行替换后,UI 中的 NSX Manager 存储包含 API 和集群证书、VMCA CA 证书以及由第三方组织签名的证书。此后,NSX Manager 将使用贵组织中的签名证书。
NSX Manager 中的命名约定 | 用途 | 可替换? | 默认有效性 |
---|---|---|---|
tomcat | 这是一个 API 证书,用于通过 UI/API 与各个 NSX Manager 节点进行的外部通信。 | 是。 请参见替换证书 | 825 天 |
mp-cluster | 这是一个 API 证书,用于使用集群 VIP 通过 UI/API 与 NSX Manager 集群进行的外部通信。 | 是。 请参见替换证书 | 825 天 |
其他证书 | 专用于 NSX 联合的证书。如果未使用 NSX 联合,则不会使用这些证书。 | 有关为 NSX 联合自动配置的自签名证书的详细信息,请参见NSX 联合证书。 |
|
在 UI 中不可见 | 用于不同系统组件之间的内部通信的证书。 | 否 | 10 年 |
NSX 服务证书
NSX 服务证书为面向用户,用于负载均衡器、VPN 和 TLS 检查等服务。策略 API 管理服务证书。平台使用非服务证书执行集群管理等任务。管理窗格 (MP) 或信任存储 API管理非服务证书。
使用策略 API 添加服务证书时,证书将发送到 MP/truststore API,反之则不然。
不能对 NSX 服务证书进行自签名。您必须导入这些证书。有关说明,请参见导入和替换证书。
您可以根据 RSA 生成根证书颁发机构 (CA) 证书和私钥。CA 证书能够对其他证书进行签名。
如果证书签名请求 (CSR) 已由 CA(本地 CA 或诸如 Verisign 之类的公共 CA)签名,则它可以用作 NSX 服务证书。CSR 获得签名后,可以将该签名证书导入 NSX Manager。CSR 可以在 NSX Manager 中或在 NSX Manager 外部生成。请注意,对于在 NSX Manager 中生成的 CSR,服务证书标记处于禁用状态。因此,这些签名的 CSR 不能用作服务证书,而只能用作平台证书。
平台证书和 NSX 服务证书在系统中分开存储,作为 NSX 服务证书导入的证书不能用于平台,反之亦然。
主体身份 (PI) 证书
PI 证书可用于服务或平台。
云管理平台 (Cloud Management Platform, CMP)(如 Openstack)的 PI 使用在将 CMP 作为客户端载入时上载的 X.509 证书。有关将角色分配给主体身份和替换 PI 证书的信息,请参见添加角色分配或主体身份。
NSX 联合的 PI 将 X.509 平台证书用于本地管理器设备和全局管理器设备。有关为 NSX 联合自动配置的自签名证书的详细信息,请参见NSX 联合证书。