In NSX-T Data Center gibt es drei Kategorien selbstsignierter Zertifikate.

  • Plattformzertifikate
  • NSX Services-Zertifikate
  • Prinzipalidentitätszertifikate

In den folgenden Abschnitten finden Sie die Details zu den einzelnen Zertifikatskategorien.

Plattformzertifikate

Navigieren Sie nach der Installation von NSX-T Data Center zu System > Zertifikate, um die vom System erstellten Plattformzertifikate anzuzeigen. Standardmäßig handelt es sich um selbstsignierte X.509 RSA 2048-/SHA256-Zertifikate für die interne Kommunikation innerhalb von NSX-T Data Center und für die externe Authentifizierung, wenn über APIs oder die Benutzeroberfläche auf NSX Manager zugegriffen wird.

Die internen Zertifikate können nicht angezeigt oder bearbeitet werden.

Tabelle 1. Plattformzertifikate in NSX-T Data Center
Benennungskonvention in NSX Manager Zweck Ersetzbar? Standardgültigkeit
tomcat Dies ist ein API-Zertifikat, das für die externe Kommunikation mit einzelnen NSX Manager-Knoten über die Benutzeroberfläche/API verwendet wird. Ja.

Siehe Zertifikate ersetzen
825 Tage
mp-cluster Dies ist ein API-Zertifikat, das für die externe Kommunikation mit dem NSX Manager-Cluster mithilfe der Cluster-VIP über die Benutzeroberfläche/API verwendet wird. Ja.

Siehe Zertifikate ersetzen
825 Tage
Zusätzliche Zertifikate Zertifikate speziell für NSX-Verbund. Sofern Sie NSX-Verbund nicht verwenden, werden diese Zertifikate nicht verwendet.

Einzelheiten zu selbstsignierten Zertifikaten, die automatisch für NSX-Verbund konfiguriert werden, finden Sie unter Zertifikate für NSX-Verbund.

Nicht auf der Benutzeroberfläche angezeigt Zertifikate, die für die interne Kommunikation zwischen verschiedenen Systemkomponenten verwendet werden. Nein 10 Jahre

NSX-Dienstzertifikate

NSX-Dienstzertifikate werden für die für den Benutzer sichtbaren Dienste wie Load Balancer, VPN und die TLS-Prüfung verwendet. Die Richtlinien-API verwaltet Dienstzertifikate. Nicht-Dienstzertifikate werden von der Plattform für Aufgaben wie die Clusterverwaltung verwendet. Die Verwaltungsbereichs- (Management Pane, MP) oder die Truststore-API verwaltet Nicht-Dienstzertifikate.

Wenn Dienstzertifikate über die Richtlinien-API hinzugefügt werden, wird das Zertifikat an die MP-/Truststore-API gesendet, umgekehrt jedoch nicht.

NSX-Dienstzertifikate können nicht selbstsigniert sein. Sie müssen importiert werden. Weitere Anweisungen finden Sie unter Importieren und Ersetzen von Zertifikaten.

Ab NSX-T Data Center 3.2 können Sie ein Zertifikat von einer Root-Zertifizierungsstelle (CA) und einen Privatschlüssel auf der Basis von RSA generieren. CA-Zertifikate können andere Zertifikate signieren.

Eine Zertifikatsignierungsanforderung (CSR) kann als NSX-Dienstzertifikat verwendet werden, wenn sie von einer (lokalen oder öffentlichen, z. B. Verisign) CA signiert ist. Sobald die CSR signiert ist, können Sie das signierte Zertifikat in NSX Manager importieren. Eine CSR kann auf NSX Manager oder außerhalb von NSX Manager erstellt werden. Beachten Sie, dass das Flag Dienstzertifikat für CSRs, die auf NSX Manager generiert werden, deaktiviert ist. Daher können diese signierten CSRs nicht als Dienstzertifikate, sondern nur als Plattformzertifikate verwendet werden.

Plattform- und NSX-Dienstzertifikate werden separat im System gespeichert. Zertifikate, die als NSX-Dienstzertifikate importiert werden, können nicht für die Plattform oder umgekehrt verwendet werden.

Prinzipalidentitätszertifikate (PI-Zertifikate)

PI-Zertifikate können für Dienste oder die Plattform bestimmt sein.

Die PI für Cloud Management Platforms (CMP), z. B. OpenStack, verwendet X.509-Zertifikate, die beim Onboarding eines CMP als Client hochgeladen werden. Informationen zum Zuweisen von Rollen zur Prinzipalidentität und zum Ersetzen von PI-Zertifikaten finden Sie unter Hinzufügen einer Rollenzuweisung oder Prinzipalidentität

Die PI für NSX-Verbund verwendet X.509-Plattformzertifikate für die lokalen und die globalen Manager-Appliances. Einzelheiten zu selbstsignierten Zertifikaten, die automatisch für NSX-Verbund konfiguriert werden, finden Sie unter Zertifikate für NSX-Verbund.

Hinweis: Obwohl NSX-T Data Center secp256k1-Schlüssel für Prinzipalidentitätszertifikate unterstützt, sollten Sie diesen Schlüssel nicht verwenden, wenn Ihre Umgebung nur FIPS-zugelassene kryptografische Schlüssel erfordert.