Existen tres categorías de certificados autofirmados en NSX-T Data Center.
- Certificados de plataforma
- Certificados de NSX Services
- Certificados de identidad principal
Consulte las siguientes secciones para obtener detalles sobre cada categoría de certificado.
Certificados de plataforma
Después de instalar NSX-T Data Center, desplácese hasta para ver los certificados de la plataforma creados por el sistema. De forma predeterminada, estos son los certificados X.509 RSA 2048/SHA256 autofirmados para la comunicación interna dentro de NSX-T Data Center y para la autenticación externa cuando se accede a NSX Manager mediante un API o la interfaz de usuario.
Los certificados internos no se pueden ver ni editar.
Convención de nomenclatura en NSX Manager | Propósito | ¿Reemplazable? | Validez predeterminada |
---|---|---|---|
tomcat | Se trata de un certificado de API que se utiliza para la comunicación externa con nodos individuales de NSX Manager a través de interfaz de usuario/API. | Sí. Consulte Reemplazar certificados | 825 días |
mp-cluster | Se trata de un certificado de API que se utiliza para la comunicación externa con el clúster de NSX Manager mediante la VIP del clúster a través de interfaz de usuario/API. | Sí. Consulte Reemplazar certificados | 825 días |
Certificados adicionales | Certificados específicamente para NSX Federation. Si no utiliza NSX Federation, no se utilizará este certificado. | Consulte Certificados para NSX Federation para obtener más información sobre los certificados autofirmados configurados automáticamente para NSX Federation. |
|
No visible en la interfaz de usuario | Certificados que se utilizan para la comunicación interna entre diferentes componentes del sistema. | No | 10 años |
Certificados de NSX Service
Los certificados del servicio de NSX Service se utilizan para servicios como el equilibrador de carga y la VPN.
Los certificados del servicio de NSX no se pueden autofirmar. Debe importarlos. Consulte instrucciones en Importar y reemplazar certificados.
Se puede utilizar una solicitud de firma de certificado (CSR) como certificado de servicio de NSX si está firmada por una CA (local o pública, como Verisign). Una vez que la CSR esté firmada, podrá importar ese certificado a NSX Manager. Se puede generar una CSR en NSX Manager o fuera de NSX Manager. Tenga en cuenta que la etiqueta Certificado de servicio está deshabilitada para las CSR generadas en NSX Manager. Por lo tanto, estas CSR firmadas no pueden utilizarse como certificados de servicio, sino solo como certificados de plataforma.
Los certificados de servicio de NSX y de plataforma se almacenan por separado dentro del sistema, y los certificados importados como certificados de servicio de NSX no se pueden utilizar para plataforma o viceversa.
Certificados de identidad principal (PI)
Los certificados de PI pueden ser para servicios o para plataforma.
PI para plataformas de administración de nube (CMP), como OpenStack, utiliza certificados X.509 que se cargan al incorporar una CMP como cliente. Puede consultar información sobre la asignación de funciones a la identidad principal y el reemplazo de certificados de PI en Agregar una asignación de funciones o la identidad principal
PI para NSX Federation utiliza certificados de plataforma X.509 para los dispositivos de Local Manager y Global Manager. Consulte Certificados para NSX Federation para obtener más información sobre los certificados autofirmados configurados automáticamente para NSX Federation.