Existen tres categorías de certificados autofirmados en NSX-T Data Center.

  • Certificados de plataforma
  • Certificados de NSX Services
  • Certificados de identidad principal

Consulte las siguientes secciones para obtener detalles sobre cada categoría de certificado.

Certificados de plataforma

Después de instalar NSX-T Data Center, desplácese hasta Sistema > Certificados para ver los certificados de la plataforma creados por el sistema. De forma predeterminada, estos son los certificados X.509 RSA 2048/SHA256 autofirmados para la comunicación interna dentro de NSX-T Data Center y para la autenticación externa cuando se accede a NSX Manager mediante un API o la interfaz de usuario.

Los certificados internos no se pueden ver ni editar.

Tabla 1. Certificados de plataforma en NSX-T Data Center
Convención de nomenclatura en NSX Manager Propósito ¿Reemplazable? Validez predeterminada
tomcat Se trata de un certificado de API que se utiliza para la comunicación externa con nodos individuales de NSX Manager a través de interfaz de usuario/API. Sí.

Consulte Reemplazar certificados
825 días
mp-cluster Se trata de un certificado de API que se utiliza para la comunicación externa con el clúster de NSX Manager mediante la VIP del clúster a través de interfaz de usuario/API. Sí.

Consulte Reemplazar certificados
825 días
Certificados adicionales Certificados específicamente para NSX Federation. Si no utiliza NSX Federation, no se utilizará este certificado.

Consulte Certificados para NSX Federation para obtener más información sobre los certificados autofirmados configurados automáticamente para NSX Federation.

No visible en la interfaz de usuario Certificados que se utilizan para la comunicación interna entre diferentes componentes del sistema. No 10 años

Certificados de NSX Service

Los certificados de servicio de NSX están orientados al usuario para servicios como el equilibrador de carga, la VPN y la inspección TLS. La API de directivas administra los certificados de servicio. La plataforma utiliza certificados que no son de servicio para tareas como la administración de clústeres. El panel de administración (MP) o las API del almacén de confianza administraban certificados que no eran de servicio.

Al agregar certificados de servicio mediante la API de directiva, el certificado se envía a la API de MP/truststore, pero no al revés.

Los certificados del servicio de NSX no se pueden autofirmar. Debe importarlos. Consulte instrucciones en Importar y reemplazar certificados.

A partir de NSX-T Data Center 3.2, puede generar un certificado de entidad de certificación (CA) raíz y una clave privada basada en RSA. Los certificados de CA pueden firmar otros certificados.

Se puede utilizar una solicitud de firma de certificado (CSR) como certificado de servicio de NSX si está firmada por una CA (local o pública, como Verisign). Una vez que la CSR esté firmada, podrá importar ese certificado a NSX Manager. Se puede generar una CSR en NSX Manager o fuera de NSX Manager. Tenga en cuenta que la etiqueta Certificado de servicio está deshabilitada para las CSR generadas en NSX Manager. Por lo tanto, estas CSR firmadas no pueden utilizarse como certificados de servicio, sino solo como certificados de plataforma.

Los certificados de servicio de NSX y de plataforma se almacenan por separado dentro del sistema, y los certificados importados como certificados de servicio de NSX no se pueden utilizar para plataforma o viceversa.

Certificados de identidad principal (PI)

Los certificados de PI pueden ser para servicios o para plataforma.

PI para plataformas de administración de nube (CMP), como OpenStack, utiliza certificados X.509 que se cargan al incorporar una CMP como cliente. Puede consultar información sobre la asignación de funciones a la identidad principal y el reemplazo de certificados de PI en Agregar una asignación de funciones o la identidad principal

PI para NSX Federation utiliza certificados de plataforma X.509 para los dispositivos de Local Manager y Global Manager. Consulte Certificados para NSX Federation para obtener más información sobre los certificados autofirmados configurados automáticamente para NSX Federation.

Nota: Aunque NSX-T Data Center admite claves secp256k1 para certificados de identidad principal, no utilice esta clave si el entorno admite solo claves criptográficas aprobadas por FIPS.