In NSX gibt es drei Kategorien selbstsignierter Zertifikate.
- Plattformzertifikate
- NSX Services-Zertifikate
- Prinzipalidentitätszertifikate
Plattformzertifikate
Navigieren Sie nach der Installation von NSX zu , um die vom System erstellten Plattformzertifikate anzuzeigen. Standardmäßig handelt es sich um selbstsignierte X.509 RSA 2048-/SHA256-Zertifikate für die interne Kommunikation innerhalb von NSX und für die externe Authentifizierung, wenn über APIs oder die Benutzeroberfläche auf NSX Manager zugegriffen wird.
Die internen Zertifikate können nicht angezeigt oder bearbeitet werden.
Wenn für die Bereitstellung von NSX VMware Cloud Foundation™ (VCF) verwendet wurde, werden die standardmäßigen NSX-API- und -Clusterzertifikate durch von der VMware Certificate Authority (VMCA) signierte CA-Zertifikate aus vCenter ersetzt. Die API- und Clusterzertifikate werden möglicherweise weiterhin in der Zertifikatsliste angezeigt, werden jedoch nicht mehr verwendet. Ersetzen Sie die von einer Zertifizierungsstelle signierten Zertifikate nach dem im VCF-Administratorhandbuch beschriebenen Verfahren. Nach der Ersetzung enthalten Ihre NSX Manager-Speicher auf der Benutzeroberfläche die API- und Clusterzertifikate, die VMCA-CA-Zertifikate und die von der Drittanbieterorganisation signierten Zertifikate. Ab dann verwendet der NSX Manager das signierte Zertifikat Ihrer Organisation.
Benennungskonvention in NSX Manager | Zweck | Ersetzbar? | Standardgültigkeit |
---|---|---|---|
tomcat | Dies ist ein API-Zertifikat, das für die externe Kommunikation mit einzelnen NSX Manager-Knoten über die Benutzeroberfläche/API verwendet wird. | Ja. Siehe Zertifikate ersetzen | 825 Tage |
mp-cluster | Dies ist ein API-Zertifikat, das für die externe Kommunikation mit dem NSX Manager-Cluster mithilfe der Cluster-VIP über die Benutzeroberfläche/API verwendet wird. | Ja. Siehe Zertifikate ersetzen | 825 Tage |
Zusätzliche Zertifikate | Zertifikate speziell für NSX-Verbund. Sofern Sie NSX-Verbund nicht verwenden, werden diese Zertifikate nicht verwendet. | Einzelheiten zu selbstsignierten Zertifikaten, die automatisch für NSX-Verbund konfiguriert werden, finden Sie unter Zertifikate für NSX-Verbund. |
|
Nicht auf der Benutzeroberfläche angezeigt | Zertifikate, die für die interne Kommunikation zwischen verschiedenen Systemkomponenten verwendet werden. | Nein | 10 Jahre |
NSX-Dienstzertifikate
NSX-Dienstzertifikate werden für die für den Benutzer sichtbaren Dienste wie Load Balancer, VPN und die TLS-Prüfung verwendet. Die Richtlinien-API verwaltet Dienstzertifikate. Nicht-Dienstzertifikate werden von der Plattform für Aufgaben wie die Clusterverwaltung verwendet. Die Verwaltungsbereichs- (Management Pane, MP) oder die Truststore-API verwaltet Nicht-Dienstzertifikate.
Wenn Dienstzertifikate über die Richtlinien-API hinzugefügt werden, wird das Zertifikat an die MP-/Truststore-API gesendet, umgekehrt jedoch nicht.
NSX-Dienstzertifikate können nicht selbstsigniert sein. Sie müssen importiert werden. Weitere Anweisungen finden Sie unter Importieren und Ersetzen von Zertifikaten.
Sie können ein Zertifikat von einer Root-Zertifizierungsstelle (CA) und einen Privatschlüssel auf der Basis von RSA generieren. CA-Zertifikate können andere Zertifikate signieren.
Eine Zertifikatsignierungsanforderung (CSR) kann als NSX-Dienstzertifikat verwendet werden, wenn sie von einer (lokalen oder öffentlichen, z. B. Verisign) CA signiert ist. Sobald die CSR signiert ist, können Sie das signierte Zertifikat in NSX Manager importieren. Eine CSR kann auf NSX Manager oder außerhalb von NSX Manager erstellt werden. Beachten Sie, dass das Flag Dienstzertifikat für CSRs, die auf NSX Manager generiert werden, deaktiviert ist. Daher können diese signierten CSRs nicht als Dienstzertifikate, sondern nur als Plattformzertifikate verwendet werden.
Plattform- und NSX-Dienstzertifikate werden separat im System gespeichert. Zertifikate, die als NSX-Dienstzertifikate importiert werden, können nicht für die Plattform oder umgekehrt verwendet werden.
Prinzipalidentitätszertifikate (PI-Zertifikate)
PI-Zertifikate können für Dienste oder die Plattform bestimmt sein.
Die PI für Cloud Management Platforms (CMP), z. B. OpenStack, verwendet X.509-Zertifikate, die beim Onboarding eines CMP als Client hochgeladen werden. Informationen zum Zuweisen von Rollen zur Prinzipalidentität und zum Ersetzen von PI-Zertifikaten finden Sie unter Hinzufügen einer Rollenzuweisung oder Prinzipalidentität
Die PI für NSX-Verbund verwendet X.509-Plattformzertifikate für die lokalen und die globalen Manager-Appliances. Einzelheiten zu selbstsignierten Zertifikaten, die automatisch für NSX-Verbund konfiguriert werden, finden Sie unter Zertifikate für NSX-Verbund.