在 NSX 中具有三种类别的自签名证书。
- 平台证书
- NSX 服务证书
- 主体身份证书
有关每个证书类别的详细信息,请参阅以下部分。NSX 中可能存在其他类型的证书。有关组件或应用程序证书的详细信息,请参阅该组件或应用程序文档。
平台证书
在安装 NSX 后,导航到 以查看系统创建的平台证书。默认情况下,这些自签名 X.509 RSA 2048/SHA256 证书用于 NSX 中的内部通信以及使用 NSX Manager 访问 API 或 UI 时的外部身份验证。
无法查看或编辑内部证书。
如果使用 VMware Cloud Foundation™ (VCF) 部署 NSX,则会从 vCenter 中将默认 NSX API 和集群证书替换为由 VMware Certificate Authority (VMCA) 签名的 CA 证书。API 和集群证书可能仍显示在证书列表中,但不会使用这些证书。可使用《VCF 管理指南》中提供的操作过程替换 CA 签名证书。执行替换后,UI 中的 NSX Manager 存储包含 API 和集群证书、VMCA CA 证书以及由第三方组织签名的证书。此后,NSX Manager 将使用贵组织中的签名证书。
NSX Manager 中的命名约定 | 用途 | 可替换? | 默认有效性 |
---|---|---|---|
API (previously known as tomcat) | 此证书用作服务器证书,供 API/UI 客户端访问 NSX Manager HTTPS 端口(端口 443)。 | 可以。请参见替换证书 | 825 天 |
Cluster (previously known as mp-cluster) | 当 VIP 用于 NSX Manager 集群时,此证书用作服务器证书,供 API/UI 客户端访问集群 VIP 的 HTTPS 端口(端口 443)。 | 可以。请参见替换证书 | 825 天 |
其他证书 | 这些证书专门用于其他用途,包括 NSX 联合、集群引导管理器 (CBM) 和中央控制平面 (CCP)。 | 有关为 NSX 和 NSX 联合环境自动配置的自签名证书的详细信息,请参见NSX 和 NSX 联合 的证书。 |
因证书而异 |
NSX 服务证书
NSX 服务证书为面向用户,用于负载均衡器、VPN 和 TLS 检查等服务。策略 API 管理服务证书。平台使用非服务证书执行集群管理等任务。管理平面 (MP) 或信任存储 API 管理非服务证书。
使用策略 API 添加服务证书时,证书将发送到 MP/信任存储 API,反之则不会存在这种关系。
不能对 NSX 服务证书进行自签名。您必须导入这些证书。有关说明,请参见导入和替换证书。
您可以根据 RSA 生成根证书颁发机构 (CA) 证书和私钥。CA 证书能够对其他证书进行签名。
如果证书签名请求 (CSR) 已由 CA(本地 CA 或诸如 Verisign 之类的公共 CA)签名,则您可以将其用作 NSX 服务证书。CSR 获得签名后,可以将该签名证书导入 NSX Manager。CSR 可以在 NSX Manager 中或在 NSX Manager 外部生成。对于在 NSX Manager 中生成的 CSR,服务证书标记处于停用状态。因此,签名的 CSR 不能用作服务证书,而只能用作平台证书。
平台证书和 NSX 服务证书在系统中分开存储,作为 NSX 服务证书导入的证书不能用于平台,反之亦然。
主体身份 (PI) 证书
API 请求使用 PI 证书。PI 证书是一种 NSX Manager 身份验证机制。任何 NSX Manager 客户端都可以创建和使用 PI 证书。这是计算机到计算机通信的首选方法。
云管理平台 (Cloud Management Platform, CMP)(如 Openstack)的 PI 使用在将 CMP 作为客户端载入时上载的 X.509 证书。有关将角色分配给主体身份和替换 PI 证书的信息,请参见添加角色分配或主体身份。
NSX 联合的 PI 将 X.509 平台证书用于本地管理器和全局管理器设备。有关为 NSX 联合自动配置的自签名证书的详细信息,请参见NSX 和 NSX 联合 的证书。