In NSX-T Data Center gibt es drei Kategorien selbstsignierter Zertifikate.
- Plattformzertifikate
- NSX Services-Zertifikate
- Prinzipalidentitätszertifikate
In den folgenden Abschnitten finden Sie die Details zu den einzelnen Zertifikatskategorien.
Plattformzertifikate
Navigieren Sie nach der Installation von NSX-T Data Center zu , um die vom System erstellten Plattformzertifikate anzuzeigen. Standardmäßig handelt es sich um selbstsignierte X.509 RSA 2048-/SHA256-Zertifikate für die interne Kommunikation innerhalb von NSX-T Data Center und für die externe Authentifizierung, wenn über APIs oder die Benutzeroberfläche auf NSX Manager zugegriffen wird.
Die internen Zertifikate können nicht angezeigt oder bearbeitet werden.
| Benennungskonvention in NSX Manager | Zweck | Ersetzbar? | Standardgültigkeit |
|---|---|---|---|
| tomcat | Dies ist ein API-Zertifikat, das für die externe Kommunikation mit einzelnen NSX Manager-Knoten über die Benutzeroberfläche/API verwendet wird. | Ja. Siehe Zertifikate ersetzen | 825 Tage |
| mp-cluster | Dies ist ein API-Zertifikat, das für die externe Kommunikation mit dem NSX Manager-Cluster mithilfe der Cluster-VIP über die Benutzeroberfläche/API verwendet wird. | Ja. Siehe Zertifikate ersetzen | 825 Tage |
| Zusätzliche Zertifikate | Zertifikate speziell für NSX-Verbund. Sofern Sie NSX-Verbund nicht verwenden, werden diese Zertifikate nicht verwendet. | Einzelheiten zu selbstsignierten Zertifikaten, die automatisch für NSX-Verbund konfiguriert werden, finden Sie unter Zertifikate für NSX-Verbund. |
|
| Nicht auf der Benutzeroberfläche angezeigt | Zertifikate, die für die interne Kommunikation zwischen verschiedenen Systemkomponenten verwendet werden. | Nein | 10 Jahre |
NSX-Dienstzertifikate
NSX-Dienstzertifikate werden für Dienste wie Load Balancer und VPN verwendet.
NSX-Dienstzertifikate können nicht selbstsigniert sein. Sie müssen importiert werden. Weitere Anweisungen finden Sie unter Importieren und Ersetzen von Zertifikaten.
Eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) kann als NSX-Dienstzertifikat verwendet werden, wenn sie von einer Zertifizierungsstelle (lokale Zertifizierungsstelle oder öffentliche Zertifizierungsstelle wie Verisign) signiert wurde. Sobald die CSR signiert ist, können Sie dieses signierte Zertifikat in NSX Manager importieren. Eine CSR kann auf einem NSX Manager oder außerhalb von NSX Manager generiert werden. Beachten Sie, dass das Dienstzertifikat für CSRs deaktiviert ist, die auf dem NSX Manager generiert werden. Aus diesem Grund können diese signierten CSRs nicht als Dienstzertifikate, sondern nur als Plattformzertifikate verwendet werden.
Plattform- und NSX-Dienstzertifikate werden separat im System gespeichert. Zertifikate, die als NSX-Dienstzertifikate importiert werden, können nicht für die Plattform oder umgekehrt verwendet werden.
Prinzipalidentitätszertifikate (PI-Zertifikate)
PI-Zertifikate können für Dienste oder die Plattform bestimmt sein.
Die PI für Cloud Management Platforms (CMP), z. B. OpenStack, verwendet X.509-Zertifikate, die beim Onboarding eines CMP als Client hochgeladen werden. Informationen zum Zuweisen von Rollen zur Prinzipalidentität und zum Ersetzen von PI-Zertifikaten finden Sie unter Hinzufügen einer Rollenzuweisung oder Prinzipalidentität
Die PI für NSX-Verbund verwendet X.509-Plattformzertifikate für die lokalen und die globalen Manager-Appliances. Einzelheiten zu selbstsignierten Zertifikaten, die automatisch für NSX-Verbund konfiguriert werden, finden Sie unter Zertifikate für NSX-Verbund.
